最終更新日:2023-06-28
自社のWebサーバーや社内ネットワークのセキュリティを強固にしたいと考えている方へ。自社システムのセキュリティ耐性を確認するペネトレーションテストサービスや、主要なツールの特徴・選び方などをご紹介します。
自社のシステムやネットワークがハッカーに攻撃されたり侵入されたりすることを防ぐには、脆弱性や抜け穴がないかどうかを徹底的に調べる必要があります。
そのための手法の一つが「ペネトレーションテスト」。インターネットに接続されている自社のシステムやネットワークに対して、様々なツールや手段を用いて実際に攻撃や侵入を試みることで、セキュリティ強度や耐性をチェックするためのものです。
ペネトレーション(penetration)は、「侵入」や「貫通」といった意味を表す言葉で、「ペンテスト」や「模擬ハッキング」などと呼ぶこともあります。
ペネトレーションテストの目的は、「守るべき対象(ターゲット)を決めて、どこまで攻撃できるのか/防げるのか」を確認することにあります。ビジネスを継続・維持するためにシステムやネットワークのセキュリティを確保しなければいけないものの、企業がセキュリティ対策にかけられるコストには限度があります。
そのため、攻撃や侵入を受けたときの被害の大きさやリスクの高さを見極め、優先順位を決める必要があるでしょう。しかし、ハッカーなど“本気の相手”は、どこからどんな方法で攻撃や侵入を試みてくるか分かりません。
ペネトレーションテストを実施することで、「どんな攻撃をされる可能性があるのか」「自社のシステムやネットワークのどこに問題があるのか」「どれくらい対策コストをかける必要があるか」といったポイントを把握できるように。今後のセキュリティ対策の見直しや強化につなげられます。
ペネトレーションテストサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
自社のシステムやネットワークのセキュリティに問題がないかを調べる手法として「脆弱性診断テスト」があります。ツールや人手などを用いてシステムやネットワークをチェックするという点では、ペネトレーションテストと似ていますが、目的や対象とする範囲が異なります。
厳密な定義があるわけではなく重なる領域もありますが、主な違いとして、下記の2点が挙げられます。
ペネトレーションテスト…脆弱性が存在するかどうかではなく、その脆弱性を利用して実際にシステムへ侵入できるのか、そして侵入後にシステム内にある機密情報を盗み出すことが可能かどうかを調べます。
脆弱性診断テスト…低リスクなものも含め、脆弱性やセキュリティ上の不備を網羅的に調べ上げるのが脆弱性診断テストの目的。セキュリティ上の問題や課題をまとめて洗い出すことが可能です。
ペネトレーションテスト…重大ではない脆弱性や問題点をすべて洗い出すことはせず、シナリオに基づきターゲットを攻略するのに必要となる脆弱性や問題点だけをチェックします。
脆弱性診断テスト…システムの土台となるOSやサーバーソフト、ミドルウェア、フレームワークの中に残ったセキュリティ上好ましくない設定や、サーバー上で動いている本来不要なサービスや機能などを洗い出し、「潜在的なリスク」として提示します。
ペネトレーションテストと脆弱性診断テストは競合するサービスではなく、上手に併用することで効率的なセキュリティ強化が実現できます。
たとえば、セキュリティの「ベースライン」を確保するために脆弱性診断テストを実施し、その上で特に重要なシステムや保護対象については必要に応じてペネトレーションテストでチェックするとよいでしょう。
脆弱性診断テストについては、最近では取引先企業などからシステムの導入要件や入札要件として実施を求められるケースも増えています。「脆弱性診断サービス・ツール」について詳しく知りたい方は「脆弱性診断サービス・ツール比較14選!選び方や無料ツールも」をご覧ください。
後述するツールを使えば、自前でペネトレーションテストを実施することも可能です。しかし、ツールを使いこなせるようなセキュリティの専門家を十分な人数確保できる企業は少ないでしょう。
ペネトレーションテストの実施にあたっては、「ハッカーと同等の技術で攻撃・侵入ができること」が何より重要です。テスト実施者(セキュリティエンジニアなど)のスキルレベルが低いとテストの意味がなくなってしまいます。
自社でペネトレーションテストを実施できない場合は、セキュリティベンダーが提供する「ペネトレーションテストサービス」を利用するのがおすすめです。
セキュリティベンダーでは、本物のハッカーと渡り合える“生きた知識”とスキルレベルを持った「ホワイトハッカー」と呼ばれる人材を多数抱えています。
ペネトレーションテストサービスの主な手順は以下の通りになります。
ペネトレーションテストサービスでは、申し込みをした企業と入念な打ち合わせをした上で、その企業の環境に最適なシナリオを作ってテストが実施されます。対象となるシステムやネットワークの規模・構成、「どこまでやるか」といったテストのターゲットやゴールが、企業ごとに異なるからです。
たとえば、侵入の方法にしても、「公開されているWebサーバーから侵入する」「標的型攻撃メールを使って侵入する」「サーバーの脆弱性を突いて侵入する」など様々な侵入パターンが想定されます。そのため、使用する侵入パターンなどをシナリオとして決めておく必要があるのです。
事前に自社システムに関する情報やネットワーク構成などを教えた上で侵入を試みてもらう「ホワイトボックステスト」か、事前に一切情報を教えずに侵入できるかどうかを試してもらう「ブラックボックステスト」のどちらを採用するかなどを選択します。
ブラックボックステストの場合、一般に公開されている情報からデータを集めて侵入の足掛かりを作る「OSINT」(Open Source Intelligence)などの手法が用いられます。
シナリオと実施日時(期間)が決まったら、セキュリティベンダーの担当者がペネトレーションテストを実施します。基本的にはリモートで疑似攻撃・侵入などを試みますが、シナリオによってはユーザー企業を訪問して社内LANにつないだ端末などから社内システムなどへの不正アクセスを試みるケースもあります。
必要に応じて、「(標的型攻撃メールを送るために)企業の代表電話に嘘の電話をかけて担当者の氏名やメールアドレスを聞き出す」といったハッキング手法をシナリオに組み込むことも可能です。
あらゆる技術を駆使して攻撃や侵入に成功したら、「データベースから個人情報を盗み出す」「サーバーにバックドアを設置する」「ウイルスなど不正プログラムを拡散する」といった、シナリオに基づくゴールに到達できるかを確かめて、ペネトレーションテストは終了となります。
最後に、テストの実施結果や本当に攻撃を受けた場合に想定される被害の程度や、リスク評価などを調査報告書にまとめてユーザー企業に提出します。
サービスによっては、セキュリティ向上のためのコンサルティングや一定期間後の再テスト実施などをテスト実施後のアフターフォローとして提供することもあります。
ペネトレーションテストは本来、セキュリティの専門家が作ったシナリオに基づき、様々なテクニックを駆使して攻撃や侵入を試みる必要があります。専門的である分、準備に相応の時間・コストがかかるため、実施ハードルを高く感じる企業も少なくないでしょう。
その場合におすすめのが、自前のAIやプラグインなどを利用して自動的にテストを行うことのできる「ペネトレーションテストツール」です。
特徴としては、一つのツールで一連の作業をカバーするのではなく、対象システムやネットワークに対する、利用しているIPアドレスやポート番号の洗い出し、稼働しているOSやミドルウェアの種類やバージョンの確認、脆弱性のスキャン、通信内容の傍受、パスワードの解読といった作業ごとに専用ツールを利用するイメージです。
たとえば、株式会社レイ・イージス・ジャパンが提供する「ファストペネトレーションテスト」は、ネット接続機器・IPを対象として、プラットフォーム診断に加えて、簡易のペネトレーションテストを実施可能。申し込みから最速で3営業日以内に診断開始でき、更に対象機器5IP60万円と料金的にも手軽に利用可能。「本格的なペネトレーションテストを行うほどではないが、しっかり安全性の確認を行っておきたい」という場合には有用です。
基本的には有料ツールのほうが高機能ですが、「Kali Linux」や「Metasploit」のようなプロユースのオープンソースツールもあります。
「VirtualBox」などの仮想化ソフトなどを使えば、比較的簡単に環境構築や試用ができるツールも多いので、機会があればぜひ触ってみることをおすすめします。
ペネトレーションテスト自体はセキュリティベンダーに依頼するとしても、これらのツールを触っておくことで、シナリオ作りやテスト結果を読み解きなどがスムーズに行えるようになるでしょう。
ここからは、セキュリティベンダー各社が提供するペネトレーションテストサービスについて簡単に紹介します。
どのサービスも基本的な流れは同じですが、企業ごとにペネトレーションテストのシナリオが異なったり、使用するツール選びなども含めてテスト作業には属人的な要素があったりします。そのため、ほかのIT系サービスとは違い、「同じようなサービスメニューだったら提供される内容もだいたい同じ」というものではありません。
シナリオの内容やチェック範囲によって、実際にかかる費用も大きく変わり、提示されている価格もあくまで目安であることがほとんどです。利用サービスを検討する際には、テスト対象や範囲、依頼したいこと、予算などをある程度固めてから見積もり依頼をするとよいでしょう。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:ペネトレーションテストサービス公式Webサイト)
同社が別途提供するセキュリティ診断サービスなどを通じて得た豊富なノウハウを活用することで、明確なリスクを把握できるペネトレーションテストサービス。脅威動向の調査活動に精通した専門コンサルタントによる高度な分析が強み。
インターネット公開環境に対するテストでは、Webアプリケーションからの情報窃取やリモートアクセス経路への不正ログインなど、システムの脆弱性を悪用した疑似攻撃が実行できる。また、社内ネットワーク上にある基幹システムやクライアントPCに対するテストにも対応。たとえば疑似マルウェアを利用して社外攻撃サーバーから社内端末を遠隔操作できるかどうかといったテストを行える。
(出所:ペネトレーションテスト公式Webサイト)
国内外のコンテストで受賞歴のあるトップクラスのホワイトハッカーが、攻撃者と同じ視点で侵入テストを行うペネトレーションサービス。ネット上に公開された情報からシステムへの侵入を試みる「OSINT」、メールなどを用いて企業がウイルス感染した場合の影響度を調査する「標的型攻撃」、実際に社員になりすまして侵入を試みる「レッドチーム」など、様々な攻撃シナリオで自社のセキュリティ対策・体制を検証してくれる。
「導入済みのセキュリティ対策・体制は正しく機能するのか・抜け漏れはないか」「実際に攻撃を受けたらどういう事態になるのか」などの確認、更に従業員のセキュリティ意識の向上などにも役立つ。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:ペネトレーションテスト公式Webサイト)
独自のAIエンジンを搭載した脆弱性探査ツールで高速かつ効率的な脆弱性診断を行ったうえで、ベテランのホワイトハッカーによるシステム侵入を実施するペネトレーションテストサービス。脆弱性診断サービスとプラットフォーム診断サービスが標準で付属するのが特徴だ。更に、テスト実施後の1年間は追加費用なしで再診断を受けられ、それでも修正が不十分と判明した場合は、何度でも追加の診断を受けられるなど、アフターフォローの手厚さに定評あり。
事前にシステム構成などをヒアリングしてから実施するホワイトボックステストだけでなく、事前情報を得ずに行うブラックボックステストにも対応可能(要問い合わせ)。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:ペネトレーションテスト公式Webサイト)
サイバー攻撃について知り尽くしたセキュリティプロフェッショナルによるペネトレーションテストサービス。様々な視点や角度からシナリオを検討し、その中でも特に現実的かつ優先すべきシナリオに基づきテストを実施する。ヒアリングや初期の情報収集、シナリオ作成に約1カ月(目安)かけるなどして、徹底的に脆弱性を洗い出している。
サイバー攻撃に精通した同社のホワイトハッカーが、OSINT情報の収集や社員への標的型攻撃メールの送付、APT(高度標的型攻撃)など様々な手法を駆使して模擬的に攻撃や侵入を実施。攻撃耐性や被害の影響までを確認する。
納品日から1カ月間、報告書や診断結果に関する問い合わせに対応。
(出所:ペネトレーションテスト公式Webサイト)
東大発のサイバーセキュリティスタートアップ企業に よるオーダーメイドのセキュリティ診断サービス。ブラックボックステストとホワイトボックステスト、システム外部から攻撃・侵入を試みるテスト、内部を起点とするテストなど、様々な形態・手法・シナリオに基づき、柔軟なテストを実施するペネトレーションテストサービスも提供している。高度な専門知識を持つセキュリティエンジニアがテストを担当し、高精度なペネトレーションテストを行う。
社員を騙してパスワードを聞き出すといった「ソーシャルエンジニアリング」の手法を組み込んだシナリオにも対応可能。機密情報の運用・管理体制の不備を突くような攻撃も実施でき、実用的でないセキュリティ対策や形骸化したルールなどの見直しにもつなげられる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:ファストペネトレーションテスト公式Webサイト)
VPN接続機器やメールサーバー、HPなど、ネット接続機器・IPのプラットフォーム診断に加えて、簡易のペネトレーションテストを行えるパッケージサービス。「プラットフォーム診断だけではこころもとないが、ペネトレーションテストを行うほど工数・コストに余裕がない」という場合におすすめ。
独自開発のAIエンジンやプラグインを用いて行うため診断結果にブレが少なく、また申し込みから最速で3営業日以内に診断を開始できる「手軽さ」も魅力。料金もIPもしくはFQDN単位の定額制で、対象機器5 IP60万円と安価。診断後3カ月以内であれば無料で再診断を実施してくれるのもポイント。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
ペネトレーションテストでの活用を想定して開発されている、Debian系Linuxディストリビューション。無料で利用できる。
以下で紹介する「Metasploit」「Nessus」「Nmap」「Burp suite」「sqlmap」「Hydra」のほか、パケットアナライザーの「Wireshark」やパスワード解析(クラック)ツールの「John the Ripper」など、ペネトレーションテストの実施に役立つセキュリティツールを500個以上収録している。
PCにインストールして使うこともできるが、DVDやUSBメモリーによるライブ起動や仮想化環境での実行にも対応。Windows 10・11が備えるLinux環境(Windows Subsystem for Linux、WSL)向けのディストリビューションイメージも配布されており、Microsoft Storeから入手可能だ。
ペネトレーションテストで攻撃や侵入の標的となるシステムの脆弱性を突くための「exploitコード」を作成・実行するためのソフトウェア(フレームワーク)。どんな脆弱性を用いるか、攻撃が成功したときに標的システム側で何を実行させるか、といった要素を選んで組み合わせることで、様々な攻撃を手軽に実行できる。
侵入テスターおよびITセキュリティチーム向けのProプラン(有料)も。
業界で最も信頼されている脆弱性評価ソリューション(脆弱性スキャナー)。対象となるコンピューターシステムに攻撃・侵入を許す既知の脆弱性が存在していないかどうかを洗い出すために使用され、脆弱性診断テストサービスでもよく使われている。
誤検出はスキャン100万回当たり0.32回という正確さや、業界トップクラスのカバレッジといった特徴を持つ。
WebサーバーとWebブラウザー間の通信を中継することで、両者間でやりとりされるデータの中身を確認できるローカルプロキシツール。。中身を見るだけでなくデータを書き換えることもできるため、たとえばWebブラウザーからWebサーバーへ送信するHTTPリクエストに含まれるパラメーターを書き換えてWebサーバーに攻撃コードを送り込むようなことも可能。
不正な操作を行うSQL文を入力することで情報搾取や改ざん、削除する攻撃手法「SQLインジェクション」に特化した、オープンソースのペネトレーションテストツール。MySQLやPostgreSQLなどのオープンソース系からOracleやMicrosoft SQL Serverといった商用製品・サービスまで、数多くのSQLデータベースサーバーをサポートしている。サーバーへの侵入や権限の奪取、データの窃取など様々な攻撃プロセスを自動化できる。
パスワードクラッキング用のツール。攻撃対象となるサーバー上で稼働するFTPやSSHなどの各種サービスや、Webアプリケーションのログインフォームなどに対して、あらかじめ用意した大量のIDとパスワードのリスト(辞書)を使って繰り返しログインを試みることで有効なアカウントを探索して入手する、ブルートフォース攻撃を実行する。
その他には、Wi-Fiのパスワードを解析してネットワークへの侵入を可能にする「Aircrack-ng」というクラッキングツールもよく使われます。また、ペネトレーションテストや脆弱性診断に限らず、基本的なネットワークツールとして様々な場面で役立つポートスキャンツール「Nmap」もチェックしておくとよいでしょう。
ペネトレーションテストは、本気で企業の情報資産を狙って奪いに来るようなハッキングに対して、自社のシステムやネットワークのセキュリティ耐性や強度を確認するためのものです。そのため、高度なセキュリティ知識を持った経験豊富な人材(ホワイトハッカー)の参加が欠かせません。自社に専門家がいない場合には、セキュリティベンダーが提供するペネトレーションテストサービスを利用するのがおすすめです。
ただし、セキュリティベンダーが提供するペネトレーションテストサービスの内容は千差万別で、シナリオの内容により、かかる期間や費用も大きく変化します。
一般には最低でも100万円以上、規模によっては1,000万円を超えることもあるので、利用に当たってはテスト実施後のアフターフォローやコンサルティングなども含め、コストに見合ったサービスが提供されるか慎重に見極める必要があります。
ペネトレーションテストサービスの利用はコストメリット的に見合わないという場合は、ペネトレーションテストツールを使って自前で実施するという選択肢もあります。本記事で紹介したように、無料で使える高機能ツールは多く、またツールの使い方の解説記事などもたくさん見つかるでしょう。
小規模なシステムをターゲットにしたシンプルなシナリオのペネトレーションテストなら、ハッキングなどに関する最低限のセキュリティ知識があれば実施できるでしょう。
なお、ペネトレーションテストは原則として稼働中の企業システムやネットワークに実際に攻撃を仕掛けるものなので、「実施のタイミング」もとても重要です。営業時間外、あるいは休業日に集中して実施するなど、極力ビジネスに影響が及ばないように配慮しましょう。
本記事の内容がペネトレーションテストサービスの導入検討やペネトレーションテストツール選びのために、少しでも参考になれば幸いです。
ペネトレーションテストサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
熟練のホワイトハッカーによる「OSINT」「標的型攻撃」「レッドチーム」など、様々な攻撃シナリオで自社のセキュリティ対策・体制を検証。セキュリティ意識向上にも貢...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
システムの機能性ごとの定額料金で、Webアプリケーション脆弱性診断やプラットフォーム診断も含まれています。1年以内であれば何度でも追加料金なしで再診断可能です。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
国内最高峰のエンジニアチームによるオーダーメイドのセキュリティ診断サービス(ペネトレーションテストにも対応)。クラウドやGraphQL等モダンな技術にも対応した...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
5IP 60万円の安価で行える簡易ペネトレーションテスト。プラットフォーム診断では十分ではないが、本格的なペネトレーションテストを行うほどではないという場合にお...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
