ペネトレーションテスターは見た! 第5回「ペネトレーションテストの『いいシナリオ』とは?」 | ScanNetSecurity
2024.06.22(土)

ペネトレーションテスターは見た! 第5回「ペネトレーションテストの『いいシナリオ』とは?」

だから「良くないシナリオ」とまず言えるのは、お客さんが打った対策を「含んでいない」シナリオです。

特集 コラム
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏 全 1 枚 拡大写真

 本誌は「セキュリティとは愛の行為ではないか」という仮説に基づいた記事を新春に掲載しましたが、実はその記事が生まれるきっかけとなったのが、本誌に人気連載「ペネトレーションテスターは見た!」を寄稿する、株式会社キーコネクト 代表取締役 利根川 義英 氏への昨 2022 年夏に行ったインタビューでした。

 連載と負けず劣らず、きわめて高密度なインタビューとなったため、記事仕上りまで約半年の時間を要しましたが、必要な期間であったと編集部は認識しています。

 「愛のペネトレーションテスター」利根川氏への、「ペネトレーションテストのシナリオの善し悪し」をテーマに聞いた 16,000 文字に及ぶロングインタビューを堂々全 6 回でお届けします。発注者・テスター必読。

 インタビュー編 第一回の記事配信が 2 月 14 日であることの意味を充分にかみしめながらお読みいただけましたら幸いです。

--

──まず最初に、ペネトレーションテストの「シナリオ」とは何かについてお話をいただけますでしょうか。また、それと関連して、両者の違いがあまり理解されていないとも言われる、脆弱性診断とペネトレーションテストの違いについて、改めて利根川さんの考えをお聞かせ下さい。

 まず言葉の定義から始めたいと思っていて、最初にペネトレーションテストというモノそのものについて、これは「テスト手法のひとつ」と私は考えています。あくまで手法なので、テストの対象は別に何でもいい。あらゆるものが対象としてあり得る。

 なぜこういうお話を最初にしたかというと、国内で一般に話されている「ペネトレーションテスト」という言葉が、「企業のネットワークやインフラに対してハッキングして侵入できるかどうかを検証するテスト」だけに限定した文脈で見聞きすることが多いからです。実際はそんなことはなくて、テストの対象はネットワークやインフラに限定したものではありません。

 実は国内では、「脆弱性診断」「ペネトレーションテスト」「セキュリティ診断」などいろんな言葉があるものを、ちゃんとみんな同じ認識で使っているかというと、そうじゃないところがあって、ユーザー企業さん側に対して混乱を招く要因のひとつになっていると思います。初めて弊社(編集部註:株式会社キーコネクト)にご相談いただく会社さんには、最初にこのへんの言葉の整理をさせてもらってから話を進めることが多いです。

 以上をふまえて、今日のお話の中の「ペネトレーションテスト」は、「企業のネットワークやインフラに対するペネトレーションテスト」という前提でお話をしていきます。

 「ペネトレーションテスト」という言葉の意味を考えると、ペネトレーションは「貫通」という意味なので「貫くテスト」です。日本語にするなら「何かしらの防御策が打たれているところを貫通する突破する」ことで、そこから「侵入テスト」などと訳されることが多い。

 ではペネトレーションテストにおけるシナリオとは何ですか、ということですが、「侵入の可不可・侵入の可否を判定するための仮説」がシナリオだと思っています。つまりペネトレーションテストとは、シナリオとして立てた仮説に対して検証をする作業です。

 このシナリオがテストの質を左右するすごい重要な要素になると思っていて、シナリオが悪いと、ペネトレーションテストを依頼してくる顧客企業さんからすると、「本来だったら得られたはずの内容」「得られたはずだったテスト結果」を得ることができなくなってしまうことにも繋がってきます。シナリオはすごく重要な位置づけになると思います。


《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  5. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  6. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  7. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  10. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

ランキングをもっと見る