第14回 ASV検査、ペネトレテスターの思考を追う
辻 伸弘
NTTデータ先端技術株式会社
2009/1/22
| ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、ウイルス対策ソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 |
連載第11回「ハニーポットによるウイルス捕獲から見えてくるもの」から13回「プレイバックPart.II:シフトした脅威の中で」では、コンピュータウイルスを題材に筆者の視点で書かせていただいた。新年は心機一転というわけでもないが、筆者自身、原点に立ち返る意味も込めて、セキュリティの検査であるペネトレーションテストについて書かせていただきたい。
ペネトレーションテストとは何か
さて、ペネトレーションテストという言葉。この記事を読んでいただいている皆さんは、もうなじみ深い言葉かもしれない。しかし昨今、この言葉が誤用されているとまではいわないにしても、筆者はその使い方に違和感を覚える場面に遭遇することがよくある。よい機会なので、「ペネトレーションテストとは何か」ということを説明させていただきたい。
ペネトレーションテストとは、コンピュータネットワークに内在する弱点、つまり脆弱(ぜいじゃく)性を検出し、実証する行為のことを指す。(インターネットへの公開、非公開は関係なく)ネットワーク上のコンピュータやネットワーク機器などに対して、「検査者の手で実際の攻撃手法」を用いて、その対象がどの程度のセキュリティレベルであるのかということを調査するものである。
ペネトレーションテスト、実際の検査内容を知る
読者の皆さんの中には、ペネトレーションテストとして実際に検査を受け、報告された内容から対策を講じ、再検査を行い自システムの脆弱性を減らしていったという方もいらっしゃると思う。そのような方でも、検査の概要と検査のアウトプットである報告書、報告会がどのようなものかは知っていても、肝心の検査そのものがどのように行われているのかはあまりご存じないという場合が多いのではないだろうか。
言葉の定義としてのペネトレーションテストだけではなく、現場ではどのようなことが行われているのかということを、筆者が行ったとある認定試験の一部を例に紹介させていただく。
ASV認定試験はこのようにして行われる
筆者を含む検査チームは、昨年にASVという認定試験を受験した。ASVとは、「Approved Scanning Vendor」の略で、PCI DSS(Payment Card Industry Data Security Standard:クレジットカード業界のセキュリティ基準)の要件の11.2【注1】に記述されている企業・組織である。PCI DSSを取得するには、ASVとして認められた組織による脆弱性スキャニングテストを年に4回受ける必要がある。
| 【注1】 PCI DSS要件11.2は以下の通り。
|
PCI DSSに関する詳しい内容については、連載「オール・ザッツ・PCI DSS」に任せるとしよう。ASVではたとえ試験であっても、通常のサービス提供と変わりなく、テスト環境を提供してくれているチーム(以下、被検査チーム)をお客さまとして扱うように、と規定されている。
受験前には、検査対象がどのような構成であるかということが通知される。今回の検査対象は、Windows系が5台、UNIX系4台、ネットワーク機器4台の計13台のマシン(IPアドレス)であった。実は筆者がASVを受験するのは2回目である。上記の構成は、前回(2007年度試験)と比べて大きく変わっている点がある。前回はWindows 2000が検査対象にいくつか存在したのだが、今回は、Windows Server 2003に置き換わり、Windows Server 2008も登場していた。
 |
| 図1 検査対象の構成例 |
最近筆者が行う業務上の検査でも、Windows 2000とWindows Server 2003とでは圧倒的にWindows Server 2003が多いことを考えると、この試験は時代の流れをしっかり取り入れることでブラッシュアップが図られている試験内容であるといえる。
検査開始までに、検査を行うIPアドレスを被検査チームに通知する。これは、通知したIPアドレスからのみの通信を許可してもらうためである。通常の検査も検査を行うIPアドレスを事前に通知するということを行う。これは、検査によって発生する通信に、IDS/IPS、ファイアウォールが無駄な反応を起こさないことを目的としたアクションである。
1/4 |
 |
| Index | |
| ASV検査、ペネトレテスターの思考を追う | |
 |
Page1 ペネトレーションテストとは何か ペネトレーションテスト、実際の検査内容を知る ASV認定試験はこのようにして行われる |
| Page2 検査、開始! 脆弱性スキャナ、オン! 脆弱性スキャナの「うそと沈黙」 |
|
| Page3 その貫通に“確証”はあるか 脅威は“そこ”だけなのか |
|
| Page4 検査はせめて、人間らしく |
|
セキュリティ対策の「ある視点」 バックナンバー
- 第1回 たった2行でできるWebサーバ防御の「心理戦」
- 第2回 ディレクトリ非表示の意味をもう一度見つめ直す
- 第3回 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
- 第4回 メールサーバ防御でも忘れてはならない「アリの一穴」
- 第5回 DNS、管理者として見るか? 攻撃者として見るか?
- 第6回 己を知り、敵を知る――Nmapで見つめ直す自分の姿
- 第7回 魂まで支配されかねない「名前を知られる」という事件
- 第8回 魂、奪われた後――弱いパスワードの罪と罰
- 第9回 人の造りしもの――“パスワード”の破られ方と守り方
- 第10回 SNMPコミュニティ名、そのデフォルトの価値は
- 第11回 ハニーポットによるウイルス捕獲から見えてくるもの
- 第12回 プレイバックPart.I:ウイルスのかたち、脅威のかたち
- 第13回 プレイバックPart.II:シフトした脅威の中で
- 第14回 ASV検査、ペネトレテスターの思考を追う
- 第15回 報告、それは脆弱性検査の「序章」
- 第16回 たった1つの脆弱性がもたらすシステムの“破れ”
- 最終回 Q.E.D.――セキュリティ問題を解決するのは「人」
 |
セキュリティ対策の「ある視点」 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。