新型コロナ禍においてテレワークが広がる中、サイバー攻撃の被害が増えている。リモートアクセスや自宅で使用したパソコンの持ち込みなどによって攻撃を受ける可能性がある場所、いわゆるアタックサーフェスが広がっているからだ。そうすると脆弱な部分「セキュリティーの穴」が残りやすくなる。
セキュリティーの穴があれば、攻撃者はそこを突いてくる。企業の担当者はセキュリティー診断で穴をいち早く発見し対処するのがセキュリティー対策として肝要になる。セキュリティー診断にはどのような方法があり、どの方法を選択すればよいのかを見ていこう。
脆弱性診断とペンテストの違い
セキュリティー診断は大きく「脆弱性診断」と「ペネトレーションテスト(ペンテスト)」の2つに分けられる。一般には、スキャンツールや簡単なコマンドで応答内容や挙動を確認して脆弱性の有無を確認するのを脆弱性診断と呼ぶ。一方、セキュリティー上問題がある状態をゴールに設定し、様々な手法を組み合わせてゴールに近づき、その過程で脆弱性を見つけ出すのがペンテストである。
ラックのセキュリティプロフェッショナルサービス統括部の仲上竜太デジタルペンテストサービス部部長は「米国などではスキャンとペンテストの2つに分類していて、わずかでも人の手が関わればペンテストと呼ぶ」と説明する。海外でペンテストと呼ばれるサービスの中には、日本だと脆弱性診断に分類されるものが少なくない。このため、サービス名に「ペンテスト」という文字を含む脆弱性診断が存在する。
脆弱性診断とペンテストでは発見できる脆弱性の種類に差がある。脆弱性診断はソフトウエアなどの、主に既知の脆弱性を見つけ出す。システムを構成するソフトウエアのバージョンや仕様を確認し、脆弱性の有無を確認する。
一方ペンテストは、システム単体の脆弱性だけでなく組み合わせによって生じる脆弱性を見つけ出す。ときにはインターネット上に流出したログイン情報やソーシャルエンジニアリングによる人的脆弱性なども利用する。こうした脆弱性をひっくるめて探し出すのがペンテストである。
