PENETRATION TESTペネトレーションテスト

サービス概要

近年、企業が抱えるサイバーリスクは多様化・高度化しており、業務の効率化やデジタルトランスフォーメーション(DX)が進む一方で、サイバー攻撃の脅威も増しています。このような状況の中、システムのセキュリティ対策は欠かせません。しかしながら、多くの組織が外部からの攻撃に対する脆弱性を抱えたまま運用を続けており、これが重大な情報漏洩やシステム停止といった深刻なインシデントを引き起こす可能性を秘めています。

メイソンコンサルティング株式会社(以下、メイソン)では、実際の攻撃手法を用いてシステムのセキュリティを検証する「ペネトレーションテスト(侵入テスト)」を提供しています。このサービスにより、企業が管理する情報資産の安全性を第三者視点で評価し、潜在的なリスクを早期に特定・修正することが可能です。

ペネトレーションテストとは？

ペネトレーションテストは、ITインフラストラクチャのセキュリティ対策の状況を評価するために実施されます。脆弱性診断は網羅的にシステムの脆弱性を評価することに対して、ペネトレーションテストは機密情報や個人情報などの対象とする情報資産について個別具体的に攻撃シナリオに基づき、脅威への対策状況を評価する点において違いがあります。

ペネトレーションテストの目的

ペネトレーションテストは、脆弱性診断とは異なり、攻撃者の視点からシナリオに基づき、システムを攻撃して実際にどのような被害が発生し得るかを明らかにします。

脆弱性の検出	攻撃シナリオに基づき、仮想の攻撃をシステムに対して実施することにより、システムに潜在する脆弱性を個別具体的に発見し、システムへの攻撃の可能性を評価します。
セキュリティリスクの優先対策順位付け	ペネトレーションテストにより、発見された脆弱性(セキュリティリスク)を評価し、優先的に対処すべきポイントを特定します。
セキュリティ対策の有効性確認	既存のセキュリティ対策が攻撃に対してどれだけ効果的かを評価し、必要に応じて改善点および対策の優先順位を提案します。
従業員のセキュリティ意識向上	実際の侵入リスクを知ることで、従業員のセキュリティ意識を高め、組織全体のセキュリティレベル向上に寄与します。

ペネトレーションテストが必要なお客様とは？

メイソンは、以下の場合にペネトレーションテストを実施することを推奨しております。

ペネトレーションテストを実施することの効果

メイソンでペネトレーションテストを実施することで、次のような効果が期待できます。

情報漏洩リスクの軽減	ペンテストの豊富な実績、他社のインシデント事例(メイソン独自の調査)、脅威インテリジェンスをもとに、潜在的な攻撃経路を事前に発見し、漏洩リスクを最小限に抑制可能です。
法令遵守の強化	各国の法規制や業界基準に準拠したセキュリティ対策の実施が可能です。
従業員教育	従業員へのヒアリングなどを含めた従業員教育(高度なソーシャルエンジニアリング)をあわせて実施することにより、インシデント発生時の対応コストや企業の信頼性低下を予防が可能です。
サイバー攻撃対策の強化	様々な攻撃シナリオに基づいた仮想的な攻撃により、システムを診断することで最新の脅威に備えたセキュリティ体制の構築が可能です。

メイソンが提供するペネトレーションテストの種類

メイソンのペネトレーションテストでは、以下のような多様なテスト項目を実施することが可能です。

ネットワークの脆弱性診断	外部ネットワーク、内部ネットワークにおける侵入経路やリスクを評価
Webアプリケーションテスト	SQLインジェクション、クロスサイトスクリプティング(XSS)などWebアプリケーション特有の脆弱性を様々な攻撃シナリオに基づき評価
モバイルアプリケーションテスト	モバイル端末向けアプリのセキュリティリスクを検証し、アプリ固有の脅威を評価
クライアントサイドテスト	デスクトップアプリケーションや端末環境の安全性を評価
クラウドセキュリティ診断	クラウドサービスのセキュリティ設定やアクセス管理における対策を評価し、適切な設定が行われているかを評価

ペネトレーションテストの流れ

1. 事前調査	お客様のシステム環境やセキュリティレベルに応じたヒアリング/調査を行い、ペネトレーションテストの範囲や重点項目を決定します。この段階でテスト対象のシステム、ネットワーク構成、また必要に応じたアクセス権限を確認し、無駄なく効果的なテストが実施できるよう準備します。
2. 攻撃シナリオの策定	システムの特性と業界のトレンドを踏まえ、最も実際的な攻撃シナリオを策定します。ここでは、攻撃者がどのような経路で侵入し得るか、どのようなデータを標的とするか、またどのような経済的影響が生じるかといった観点から詳細なシナリオを設計します。
3. テストの実行	設計した攻撃シナリオに基づき、実際の攻撃手法を用いてペネトレーションテストを実施します。外部侵入、内部ネットワーク攻撃、Webアプリケーションの脆弱性調査など、多角的なアプローチでテストを行い、潜在的なリスクを抽出します。
4. 結果報告と改善提案	テスト結果を分析し、発見された脆弱性やリスクのレベルを評価した上で、具体的な改善策を提案します。報告書には、発見された脆弱性の内容、再発防止のための具体的な手順、そしてリスクを最小限に抑えるための長期的な対策が含まれます。
5. フォローアップ	提案された改善策の実施状況を確認し、必要に応じて再テストや追加のアドバイスを提供します。脆弱性診断/ペネトレーションテストは周年実施した方が良い内容のため、メイソンでは継続的なセキュリティ向上を支援します。

お客様への納品成果物

ペネトレーションテストの終了時には、検出された脆弱性を効果的に排除するための広範なレポートと推奨事項をお客様に提供します。

• 検出された脆弱性一覧と対応方針書
  検出されたシステムの脆弱性のリストと、その脆弱性がどの程度悪用されやすいか、またシステムやビジネスにとってどの程度有害かに応じた分類した上で対応方針書を納品します。
• テスト中に実施されたシステムの変更点のリスト
  テストプロトコル(使用した機器、ツール、チェックした部分、発見した問題点を含む)。明らかになったセキュリティ問題を解消するための実行可能な推奨事項。

レポートでは、以下のような評価項目に基づき、総合評価や対策の優先順位をご提供します。

総合評価

ランク	評価判定基準
A	脆弱性は検出されなかった。または、現時点で、現実的に影響を受ける可能性のない事項のみ検出された。強固なセキュリティ対策が行われていると判断する。
B	複雑な条件が必要な場合や、攻撃の手助けとなる情報の表示等、軽微な影響に留まる脆弱性を検出した。一定のセキュリティ対策が行われていると判断する。
C	多数の脆弱性や、多少の専門知識を有する者に悪用されると大きな被害につながる可能性のある脆弱性を検出した。計画的な対策が必要と判断する。
D	情報漏洩や重要な情報の改ざん等、深刻な被害につながる可能性がある脆弱性を検出した。直ちに対策が必要と判断する。

脆弱性の危険度評価

ランク	内容	評価判定基準
低	経過観察が求められる	バージョン情報やシステム情報の表示等、攻撃の手助けとなる情報の表示や、現時点では現実的に脆弱性の利用が困難であり、それだけでは大きな被害にはつながらない脆弱性。 不要と考えられるオープンポートの存在や、不要と考えられるファイルの存在等、現時点では脆弱性ではないが、システム要件や運用要件を基に、セキュリティ上対策要否の検討を行うべき事項。
中	半年程度の期間で是正が求められる	技術的または環境的に容易には利用できないが、多少の専門知識を有する者であれば、個人情報や機密情報の窃取・改ざん、システムの不正利用・停止ができるなど、大きな被害につながる可能性がある脆弱性。 他の脆弱性と組み合わせることで被害を発生させる可能性や、利用には制約がかかる場合等、単独では直ちには個人情報や機密情報の窃取、改ざん、システムの不正利用、停止につながらない脆弱性。
高	早急な是正が求められる	インターネットから単純な手法で不正に操作できる、技術的または環境的に容易に利用でき、その結果、個人情報や機密情報が大量に窃取されるなど、深刻な被害につながる可能性がある脆弱性。

Webアプリケーション脆弱性診断の
評価スケール

基準	説明
情報	情報提供のみを目的として提供されます。
低	この脆弱性を悪用した攻撃は、一般に影響が少ないです。
中	この脆弱性を悪用した攻撃は、一般に中程度の影響を及ぼします。
高	この脆弱性を悪用した攻撃は、一般に大きな影響を及ぼします。

ペネトレーションテストの評価スケール

基準	説明
なし	対象ホスト・サービスにおいて、管理者および一般ユーザー権限での操作はできなかった。また、サービス外の情報の窃取もできなかった。
注意	対象ホスト・サービスにおいて、サービス外の情報の窃取が可能であった。ただし、管理者および一般ユーザー権限での操作はできなかった。
警告	対象ホスト・サービスにおいて、サービスの情報の窃取が可能であった。ただし、管理者および一般ユーザー権限での操作はできなかった。
重要	対象ホスト・サービスにおいて、システムの一般ユーザー権限での操作が可能であった。ただし、管理者権限での操作はできなかった。
緊急	対象ホスト・サービスにおいて、システムの管理者権限での操作が可能であった。