セキュリティ対策するならまずは試験から – ペネトレーションテスト・脆弱性診断、その違いについて解説

近年はITテクノロジーの急速な進展に伴い、非エンジニアでもやり方さえ習えば簡単にサービスを提供することが出来る時代になってきました。（ノーコードツールやローコードツールなど）

しかし、その一方でサイバー攻撃が多様化、巧妙化するとともに、執拗さも増しており、潜在的なサイバー攻撃の脅威は急速に進展しています。PoCレベルでサービスを提供しているのであればそこまで大きなトラブルにはならないのかもしれませんが、本格的なサービス展開を考えるとセキュリティ対策には必ず目を向ける必要が出てきます。

そこで、今回はサービスの提供者（サービスプロバイダー）がどの様なセキュリティ対策をしていかなければならないか試験する方法「ペネトレーションテスト」と「脆弱性診断」についての解説を行っていくことで、少しでも必要な知識を身に着けていただければ幸いです。

ペネトレーションテストとは？

ペネトレーションテスト（Penetration Test）は、コンピューターシステム、ネットワーク、アプリケーション、または他の情報セキュリティ対策をテストするためのセキュリティ評価手法の一つです。このテストは、悪意のある攻撃者が利用する可能性のある脆弱性やセキュリティの問題を特定し、それらの問題を修正するための改善策を提案することを目的として行われます。

ペネトレーションテストの主な特徴は次のとおりです：

1. シミュレーション: ペネトレーションテスターは、悪意のあるハッカーの手法を模倣し、システムに侵入しようと試みます。しかし、彼らは法的な許可を得ており、システムを実際に攻撃するわけではありません。
2. 脆弱性の特定: ペネトレーションテスターは、システムやアプリケーション内の脆弱性やセキュリティの欠陥を特定し、それらを報告します。これには、不正アクセス、データ漏洩、認証のバイパス、SQLインジェクションなどの脅威を評価することが含まれます。
3. レポートの提供: ペネトレーションテスターは、テスト結果をまとめた詳細なレポートを提供します。このレポートには、特定された脆弱性、攻撃の手法、リスクの評価、修正策の提案などが含まれます。
4. セキュリティの向上: ペネトレーションテストを受ける組織は、テスト結果を基にセキュリティ対策を強化するための具体的な行動計画を立てることができます。これにより、潜在的な攻撃からの保護が向上し、セキュリティリスクが軽減されます。

ペネトレーションテストは、組織が情報セキュリティを確保し、潜在的なセキュリティリスクに対処するための重要な手法の一つです。定期的なテストと継続的な監視を通じて、セキュリティを維持し、向上させることが不可欠です。

しかし、万能に見えるペネトレーションテストにも欠点はあります。それはハッキング技術の差によって得られる結果が異なるため、ペネトレーションテスターの技術ありきになってしまう点です。他社にペネトレーションテストを依頼するのであればこの点に十分留意する必要があり、また自社でペネトレーションテストを実施するのであれば共通のフレームワーク（代表例：ATT＆CK）に基づいて評価していく必要があります。

◆参考

MITRE社が提供するフレームワーク「ATT&CK」
（https://attack.mitre.org/）

脅威ベースのペネトレーションテスト（TLPT）
（https://www.fsa.go.jp/common/about/research/20180516/TLPT.pdf）

ペネトレーションテスト入門
（https://qiita.com/melonattacker/items/caf5de3071db1ae10367）

脆弱性診断とは？

脆弱性診断（Vulnerability Assessment）は、コンピューターシステム、ネットワーク、アプリケーション、または他の情報セキュリティ対策を評価し、潜在的な脆弱性やセキュリティの問題を特定するためのプロセスです。この評価は、システムやアプリケーションが攻撃に対してどれだけ脆弱であるかを明らかにし、それに対処するための措置を講じる基盤を提供します。

脆弱性診断の主な特徴とアクションは次のとおりです：

1. スキャンおよび評価: 脆弱性診断は、自動化されたスキャンツールやソフトウェアを使用して、対象のシステムやネットワークをスキャンおよび評価します。このプロセスでは、潜在的な脆弱性、セキュリティの欠陥、設定ミス、不正規なアクセスポイントなどが特定されます。
2. 脆弱性の特定: 評価プロセスにおいて、脆弱性診断ツールは既知の脆弱性データベースと照合し、システムに存在する既知のセキュリティ脆弱性を特定します。これらの脆弱性は、パッチ適用や設定の変更などの措置によって修正できる場合があります。
3. 報告: 脆弱性診断の結果は通常、詳細なレポートとして提供されます。このレポートには、特定された脆弱性の説明、重要度の評価、影響、および修正方法の提案が含まれます。これにより、組織はどの脆弱性に対処すべきかを優先順位付けし、対策を講じるためのロードマップを作成できます。
4. 継続的なモニタリング: 脆弱性診断は一度だけでなく、定期的に実施することが推奨されます。システムやアプリケーションは変化し続け、新しい脆弱性が発見される可能性があるため、継続的なモニタリングが重要です。

脆弱性診断は、情報セキュリティを向上させるために組織が実施すべき重要な活動の一部です。特に、既知のセキュリティ脆弱性を特定し、それに対処するための対策を講じることによって、組織は攻撃からの保護を向上させ、セキュリティの脆弱性を最小限に抑えることができます。

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断は、両方とも情報セキュリティの向上を目指すためのセキュリティ評価手法ですが、異なるアプローチや目的を持っています。

以下は、それらの違いを説明します：

1. 目的:
   • ペネトレーションテスト: ペネトレーションテストの主要な目的は、システムやネットワークの脆弱性を特定し、実際の攻撃者のようにシステムに侵入しようと試みます。このテストは、攻撃者がどのような手法を使用してシステムにアクセスできるかを模倣し、実際の攻撃から組織を守るための対策を評価します。
   • 脆弱性診断: 脆弱性診断は、システムやアプリケーション内の脆弱性を特定し、それらを文書化することに焦点を当てます。攻撃の模倣やシステムへのアクセス試行は行われず、主に自動化されたツールやスキャンを使用して脆弱性を見つけるために実行されます。診断された脆弱性は、その後の修正や改善のために報告されます。
2. 方法:
   • ペネトレーションテスト: ペネトレーションテスターは、システムに侵入しようと試みるため、攻撃者のような手法を使用します。ゼロデイ攻撃やソーシャルエンジニアリングなどの高度な攻撃手法を模倣することもあります。手動テストや自動化ツールの組み合わせが一般的です。
   • 脆弱性診断: 脆弱性診断は、主に自動化されたスキャンツールを使用して、システムやアプリケーションの脆弱性を特定します。テスターは攻撃者のような手法を模倣しないため、侵入試行は行いません。スキャン結果は詳細な報告書にまとめられ、脆弱性の修正や対策のための情報を提供します。
3. アプローチ:
   • ペネトレーションテスト: ペネトレーションテスターは、セキュリティ対策の穴を探し、それを攻撃者の視点から評価します。このプロセスは、リアルな攻撃シナリオに近い結果を提供しますが、手間と時間がかかります。
   • 脆弱性診断: 脆弱性診断は、自動化ツールによって広範囲にスキャンが実行され、多くの脆弱性を一度に特定します。しかし、診断の精度や文脈に関しては限定的であり、手動テストに比べて深い理解を提供することは難しい場合があります。

組織は、情報セキュリティを確保し、脆弱性を特定して修正するために、ペネトレーションテストと脆弱性診断を組み合わせて利用することが一般的です。これにより、セキュリティの強化が可能になります。