ペネトレーションテストが分かりづらいのはなんで?
今回は、「ペネトレーションテストが分かりづらい」について、考えてみたいと思います。
弊社のサービス提供を行っている技術部門に質問をぶつけていきます。
ペネトレーションテストって、本当に行う必要がありますか?
質問者S:単刀直入に、ペネトレーションテストって、本当に行う必要がありますか?
回答者T:あるか、ないかで言ったら、当然あります。しかし、どのシステムでも必要かといったら、そうではありません。
質問者S:いきなり分かりづらい回答ですが、ペネトレーションテストが必要なシステムとは何でしょうか?
回答者T:漏洩しては困る情報を扱っているシステムです。
質問者S:まだ、分かりづらいですね。漏洩しては困る情報とは、企業によって異なるとは思いますが、具体的には、顧客情報とかでしょうか?
回答者T:そうですね。企業によっては、顧客情報だけではなく、社員の個人情報や、プログラムのソースとか様々です。
質問者S:何となく、分かりづらい理由の一つが見えてきましたね。つまり、自社で漏洩しては困る情報が何なのか、またそれがどのシステムにあるのか、が分からないとペネトレーションテストを行っても意味がなさそうですね。
回答者T:その通りです。ペネトレーションテストでは、目標設定や実施目的、対象を設定しますが、それが分からないと設定しようがありません。
質問者S:なるほど。では、漏洩しては困る情報が顧客情報で、それがデータセンターのデータベースサーバにあるということが分かれば、ペネトレーションテストを行えるということですね。
回答者T:はい、その通りです。
どのくらいの費用がかかりますか?
質問者S:では、上記の場合、どのくらいの費用がかかりますか?
回答者T:規模にもよりますし、どのレベルのテストをするかによって、異なってきますので、一概にこれぐらいと言えません。
質問者S:おっと、また、分かりづらいのがでてきました。どんなレベルのテストがあるんですか?
回答者T:大きく分けると、ブラックボックステストとホワイトボックステストです。また、外部か内部か、さらに、脅威ベース(TLPT)で行うのかによってレベルが変わってきます。レベルの高さは、ブラックボックス>ホワイトボックス、外部>内部で、TLPTで行えば、さらにレベルが上がります。
質問者S:では、一番レベルが低いホワイトボックス、内部、TLPT無しで、どのくらいの費用になりますか?
回答者T:そうですね、最低でも300万円ぐらいはかかると思います。
質問者S:やはり、脆弱性診断と比べると割高ですね。
回答者T:別物なので、比べないでください。それよりも、顧客情報が漏れた場合のコストと比べて実施するかどうか判断することをお勧め致します。
質問者S:けど、顧客情報が漏れたとして、どれくらいの損害があるかは、これまた企業によって異なりますよね。
回答者T:ということは、ペネトレーションテストをすることで、自社のリスク分析もできるメリットも考えられますよね。
質問者S:いつのまにか、質問される側になっているような……切れてないですよね?
回答者T:切れてないですよ!
質問者S:では改めて、ペネトレーションテストが最低でも300万円する理由を教えてください。
回答者T:ツールはある程度使用するものの、まだまだ人力に頼っている部分が大きいのと、その人力にセキュリティに関する知識のみならず、サーバやネットワーク、プログラムなど多岐にわたって専門性が必要なことが理由です。
質問者S:なるほど、単価の高い人を使わないとできないということですね。
回答者T:はい。コストを下げる努力はしていますが、現時点ではこのくらいはかかってしまいます。
ペネトレーションテストのテストの内容
質問者S:それでは、ペネトレーションテストのテストの内容について触れていきたいと思います。例えば、先ほどの条件で、ペネトレーションテストをお願いした場合、具体的にどのようなことをするのでしょうか?
回答者T:先ほども少し触れましたが、まずは、目標設定を行います。先ほどの条件ですと、実施目的は、「顧客リストが搾取されないか確認したい。」で、対象は、「顧客リストを管理しているデータベース」となります。次に、脆弱性などアクセス可能な経路がないか事前調査を行い、これらの情報を元に、顧客リストを搾取するためのシナリオを何パターンか考えます。このシナリオを元に、実際に侵入可能か確認し、可能な場合は顧客リストを搾取しますが、不可能な場合は、考えられるパターンを試行錯誤します。最後に、レポートにまとめて、完了です。
シナリオを考えるとか、言葉にすると簡単そうですが、一つ一つのプロセスにかなりの時間がかかります。下記では、もう少し詳しく説明してありますので、興味のある方は、是非。
質問者S:聞いておいて何ですが、要するに、不正アクセスをしてデータを盗めるか、確認するということですね。
回答者T:簡単にいうとそうですが、大事なのは盗むことではなく、盗んだ方法を元に、できる限り穴を塞ぐことです。なので、シナリオを明確にし、それをシステムのセキュリティに活かすことが重要になります。
質問者S:なるほど、その通りですね。そう考えると、ペネトレーションテストが分かりづらいのではなく、そもそもある程度知識が必要な難しいものなんですね。
回答者T:そうですね。分かりやすく説明しようと簡単にすればするほど、実際のペネトレーションテストとかけ離れていくような感覚はあります。
質問者S:そうですか……それだと、ペネトレーションテストが分かりづらい理由は、難しいからっていうことになってしまいますね。
回答者T:いや、私の説明が下手なのが、分かりづらい理由だと思います。次回は、別の人にお願いします。
質問者S:いえいえ、こちらこそ、質問の仕方が悪くてすいませんでした。次回もお願いします。
回答者T:……
質問者S:(やっぱり、切れてるじゃん。)
【まとめ】取り組む前に整理しておくことは?
ペネトレーションテストの場合、脆弱性診断と違い、費用も高いので、下記について情報を整理したうえで取り組む必要がありそうです。
これを決めていないから、中々、話をしてもかみ合いませんでした。
・自社で漏洩しては困る情報が何なのか
・それがどのシステムにあるのか
・そのリスクにおけるコスト算出がある程度できているか
逆に公開情報(個人情報などの漏洩して困る情報がない)しかないホームページなどは、ペネトレーションテストを行う意味はあまりなく、脆弱性診断のみで問題ないでしょう。
よろしければ「いいね」を押してください!
読み込み中...
