ペネトレーションテストサービス

 ペネトレーションとは,コンピュータシステムへの「侵入」を意味し,IDやパスワードのハッキングなどにより生じる.コンピュータシステムにアクセスするための権限の奪取や権限上昇を背景にして,コンピュータシステム上のハードおよびソフト資源のハッキングである.
 同様に,ペネトレーションテストは,脆弱性診断を実施後,あるいは脆弱性診断を実施しないで,システムあるいはネットワーク(対象)に侵入を試みることを指す.ペネトレーションテストの例には,ホスト,サーバやNAS のログインなどや認証を回避したログインなどがある.

 システムあるいはネットワーク(対象)の脆弱な部分が存在することから,侵入(攻撃)できると考えると,脆弱な部分を検出して後の作業(あるいは役割)がペネトレーションテストであるといえる.このペネトレーションテストは,「対象のシステムやアプリケーションに潜む“脅威に到達可能な経路を見つけだすこと”を目的として実施する.またクライアントからのヒアリングを基に“クライアントが想定している攻撃者”と“クライアントが懸念している脅威(シナリオゴール)”の2 つを慎重に定義し,定義したシナリオゴールを目指してテストを開始する」と定義されている(川田征浩氏の文献から引用).“脅威”とは,ISO/IEC27000:2022 の用語で定義される.

 侵入されやすい陥りやすい設定として、メーカからサーバやNAS を導入すると,ID とパスワードが出荷時の設定のままで変更されていない場合が多い.特に多くのサーバやNAS を購入した事業所では購入したうちの数台は,出荷時の初期設定のものが発見される.サーバ以外にも,ファイアウォール,ルータ,監視カメラ,その他のIoT機器などについても,同様のチェックが必要である.

1.脆弱性診断サービスに適用する基準等

【Webアプリケーション脆弱性診断の適用基準及び使用ツール】

適用基準
・OWASPの定めるASVS(Application Security Verification Standard)レベル1以上
・独立行政法人情報処理推進機構による「ウェブ健康診断仕様」が定める診断内容
・OWASPが定める「Security Testing Guideline」
・日本セキュリティオペレーション事業者協議会及びOWASPによる脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライン」

使用ツール
・Burp Suite
・HCL AppScan
・InsightAppsec/Appspider
・OWASP ZAP
・Vulnerability Explorer(VEX)


【プラットフォーム脆弱性診断及び使用ツール】
・insightVM/Nexpose

2.ペネトレーションテストサービスに適用する基準等

・NIST SP800-115(Technical Guide to Information Security Testing and Assessment – Recommendations of the National Institute of Standards and Technology)
・Penetration Testing Execution Standard (PTES)
・MITRE ATT&CKに示されている攻撃手法や技術

3.ペネトレーションテスト(侵入試験)サービスの結果報告書の作成

・試験結果をPTES(表外注参照)の基準または同等以上の報告書作成基準に基づき、試験実施報告書としてとりまとめる。

4.脆弱性診断サービスの分析と結果報告書の作成、報告会の開催

・ツール出力についての分析を含んだ診断を実施する。
・診断結果報告書としてとりまとめる。
・診断結果に関する報告会を開催する。