SBT、システム内部からの侵入も想定したセキュリティ診断サービスを開始従来型ペネトレーションテストを超えて

ソフトバンク・テクノロジーは、ホスト単体の脆弱性の有無にとどまらず、現実の攻撃のシナリオを想定し、システム全体の耐性まで確認する「セキュリティ診断サービス」の提供を開始した。

» 2014年10月20日 19時13分 公開
[@IT]

 ソフトバンク・テクノロジーは2014年10月10日、システムの脆弱(ぜいじゃく)性を検査し、改善点とともにレポートする「セキュリティ診断サービス」の提供を開始することを明らかにした。具体的には、脆弱性検査ツールや攻撃ツールを用いて診断を下す「ペネトレーション診断」、ローカル調査で得られる情報を組み合わせ、内部からの攻撃に対するリスクを評価する「ペネトレーションプラス診断」、認証情報を格納しており狙われる可能性の高いActive Directoryに絞ってセキュリティ設定を確認する「Active Directory診断」の3メニューを用意し、提供を開始している。

 脆弱性検査ツールや手動のオペレーションにより、脆弱性や設定の不備がないかどうかを確認する「ペネトレーションテスト」は、国内でも複数の企業が提供している。しかしその多くは、ホスト単体で見た場合の脆弱性の有無に主眼が置かれており、いったん侵入を受けたホストを足がかりにして侵入が拡大した場合に、システム全体に及ぶ影響までは確認しないことが多かった。

 また、脆弱性の有無と、実際に攻撃が可能かどうかは別の問題だ。脆弱性が存在していても、環境や設定によって公になった攻撃コードが動作しなければ、対応の優先度を下げるという判断ができる。逆に、脆弱性の深刻度は中程度でも、容易に悪用可能な攻撃コードが流通しており、しかも実システムがその影響を受けることが明らかであれば、速やかな対処が必要になる。

 ソフトバンク・テクノロジーのセキュリティ診断サービスは、ペネトレーションテストにおけるこれまでの課題を反映した内容になっているという。

 基本的なサービスであるペネトレーション診断サービスでは、Nessusなどの脆弱性検査ツールを用いて、ネットワーク越し(リモート)とオンサイトの両方で、脆弱性情報やシステム情報を収集するとともに、設定不備やソフトウェアの欠陥を狙った攻撃コードの実行が可能かどうかをチェックする。加えて、あるホスト(サーバーやPC)への侵入が成功した場合、それを踏み台として、他のファイルサーバーなどシステム内部へのさらなる侵入が可能かどうかも確認する。標的型攻撃に代表されるような段階的な侵入シナリオを想定し、システム全体としての耐性をチェックすることも可能だ。

 「見つかった脆弱性をただ羅列するのではなく、実際に侵入を試行することで、どの問題が本当に深刻なのか、重み付けした形で提示できる」と同社は説明している。

 2つめのペネトレーションプラス診断サービスでは、リモートからだけでなく、ローカルでホストのアカウント情報やサービスの稼働情報、推測が容易なパスワード設定がされたアカウントなどを確認する。加えて、ここで得られた情報を用いて侵入が可能かどうかを検証していく。

 外部からのポートスキャンでもある程度システムの情報は把握可能だが、ローカル調査を行うことで、作業を大幅に効率化できる他、現実性が高まっている内部からの攻撃や侵入拡大に対するリスクを評価できることが特徴だ。HeartbleedやShellshock、あるいはApache Strutsなど、最近発覚した脆弱性は影響範囲が大きい上、実際にどんな影響を受けるかを見極めるのが難しいものが多い。「最近の脆弱性の複雑さや攻撃の傾向を考えると、中から見る方がしっかり、しかも効率的に検査できる」と同社は説明している。

 最後のActive Directory診断は、イベントログの取得設定や設定できるパスワードの長さ、変更期間など、Active Directoryのセキュリティ関連の設定が適切になされているかどうかを確認するものだ。マイクロソフトがまとめた基準で監査を実施する。

Active Directory診断ではセキュリティ関連の設定が適切かどうかを確認する

 Active Directoryには、システムを利用するユーザー名やパスワードなどのアカウント情報が格納されている。その情報が奪われれば侵害範囲が一気に広がる恐れがあり、標的型攻撃などでは侵入の対象になりやすい。そこでこの診断では、マルウェアに感染したホスト経由でActive Directoryが内部から攻撃にさらされた際に、被害を食い止め、侵入に気付きやすい設定になっているかどうかを確認できる。

 ソフトバンク・テクノロジーでは、「(システムの)内側だから大丈夫、という時代は終わった」という前提に立って、たとえシステム内部に入られたとしても致命的な事態に陥らないようなネットワークを作り、攻撃者よりも優位に立つための手助けとして、同サービスを提供していきたいとしている。

 価格はオープンプライスで、参考価格は、ペネトレーション診断が3 IPアドレスで55万円(リモート診断)、95万円(オンサイト診断)。ペネトレーションプラス診断は同じく3 IPアドレスで65万円(リモート診断)、120万円(オンサイト診断)。Active Directory診断はIPアドレス数ではなくユーザー単位で課金し、1ドメインコントローラー/100ユーザーまでの場合で98万円からとなっている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。