ペネトレーションテスターは見た! 第6回「ペネトレーションテストの『いいシナリオ』の作り方」 | ScanNetSecurity
2024.03.29(金)

ペネトレーションテスターは見た! 第6回「ペネトレーションテストの『いいシナリオ』の作り方」

ペネトレーションテストはそれと同じと思っています。お客さんは何かを気にしていて、そうされないように、攻撃されないようにネットワークやインフラを作っているので、その有効性をちゃんと検証していくのがシナリオの基本になってくる。

特集 コラム
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏 全 1 枚 拡大写真

 本誌は「セキュリティとは愛の行為ではないか」という仮説に基づいた記事を新春に掲載しましたが、実はその記事が生まれるきっかけとなったのが、本誌に人気連載「ペネトレーションテスターは見た!」を寄稿する、株式会社キーコネクト 代表取締役 利根川 義英 氏への昨 2022 年夏に行ったインタビューでした。

 連載と負けず劣らず、きわめて高密度なインタビューとなったため、記事仕上りまで約半年の時間を要しましたが、必要な期間であったと編集部は認識しています。

 「愛のペネトレーションテスター」利根川氏への、「ペネトレーションテストのシナリオの善し悪し」をテーマに聞いた 16,000 文字に及ぶロングインタビューを堂々全 6 回でお届けします。ペネトレーションテストの発注者及びテスター必読。

--

──ペネトレーションテストとは「何かしらの防御策が打たれているところを貫通・突破する」ことであり、「何かしらの防御策」とはすなわち、お客さんが自身の考えに基づいて実施したセキュリティ対策である。そして、ペネトレーションテストのシナリオとは、単に「侵入できた/できなかった」という結果を得るためのものではなく、「実施している対策がどの程度有効だったかを測る」目的がある、というお話ですが、具体的にペネトレーションテストのシナリオ作りはどんなプロセスで行われるのですか?

 シナリオを作るときは、これは私のやり方なので他の会社さんがどういうふうに進めているかは存じませんが、まずそのお客さんのネットワークだったりインフラの環境、最近だとクラウドサービスは何を使っていますかなども含めて、利用環境やインフラ周り全般の状況をまずお伺いします。

 たとえばネットワーク構成図を見ながら「ここはなぜネットワークが分かれているんですか」とか、「拠点がもし複数にまたがっている場合、その拠点ごとにネットワークの管理者がいて、個別に作っていたりするんですか」などなど、そういったセキュリティ寄りじゃない質問がちょこちょこと出てきます。なぜこういう作りなのかというところが純粋に気になって、そのへんをまずお伺いしていきます。同時に、具体的なセキュリティ対策のヒアリングもしていきます。

 ネットワークにしてもセキュリティにしても、なぜそういう作りになっているのかを聞いていくと、やっぱり何か目的があるんですよね。さきほどお話しましたけど、お客さん側が考えているお客さんなりの「こういう攻撃があるかもしれない」っていう考えがあって、それに基づいて対策を何かしら入れている。

 このようにヒアリングを行いながらシナリオの基本部分を考えていきます。たとえばですが、Wi-Fi がありますといったときに、ゲスト用の Wi-Fi があって従業員用の Wi-Fi があって、Wi-Fi の種類には他にも「○○アクセスポイント」とか「テスト用アクセスポイント」とか複数あったとしたときに、じゃあなんでそんなに分けてるんですかというところを聞きながら、シナリオの基本になる部分を考えていきます。


《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る