ペネトレーションテスターは見た! 第6回「ペネトレーションテストの『いいシナリオ』の作り方」 | ScanNetSecurity
2024.06.22(土)

ペネトレーションテスターは見た! 第6回「ペネトレーションテストの『いいシナリオ』の作り方」

ペネトレーションテストはそれと同じと思っています。お客さんは何かを気にしていて、そうされないように、攻撃されないようにネットワークやインフラを作っているので、その有効性をちゃんと検証していくのがシナリオの基本になってくる。

特集 コラム
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏 全 1 枚 拡大写真

 本誌は「セキュリティとは愛の行為ではないか」という仮説に基づいた記事を新春に掲載しましたが、実はその記事が生まれるきっかけとなったのが、本誌に人気連載「ペネトレーションテスターは見た!」を寄稿する、株式会社キーコネクト 代表取締役 利根川 義英 氏への昨 2022 年夏に行ったインタビューでした。

 連載と負けず劣らず、きわめて高密度なインタビューとなったため、記事仕上りまで約半年の時間を要しましたが、必要な期間であったと編集部は認識しています。

 「愛のペネトレーションテスター」利根川氏への、「ペネトレーションテストのシナリオの善し悪し」をテーマに聞いた 16,000 文字に及ぶロングインタビューを堂々全 6 回でお届けします。ペネトレーションテストの発注者及びテスター必読。

--

──ペネトレーションテストとは「何かしらの防御策が打たれているところを貫通・突破する」ことであり、「何かしらの防御策」とはすなわち、お客さんが自身の考えに基づいて実施したセキュリティ対策である。そして、ペネトレーションテストのシナリオとは、単に「侵入できた/できなかった」という結果を得るためのものではなく、「実施している対策がどの程度有効だったかを測る」目的がある、というお話ですが、具体的にペネトレーションテストのシナリオ作りはどんなプロセスで行われるのですか?

 シナリオを作るときは、これは私のやり方なので他の会社さんがどういうふうに進めているかは存じませんが、まずそのお客さんのネットワークだったりインフラの環境、最近だとクラウドサービスは何を使っていますかなども含めて、利用環境やインフラ周り全般の状況をまずお伺いします。

 たとえばネットワーク構成図を見ながら「ここはなぜネットワークが分かれているんですか」とか、「拠点がもし複数にまたがっている場合、その拠点ごとにネットワークの管理者がいて、個別に作っていたりするんですか」などなど、そういったセキュリティ寄りじゃない質問がちょこちょこと出てきます。なぜこういう作りなのかというところが純粋に気になって、そのへんをまずお伺いしていきます。同時に、具体的なセキュリティ対策のヒアリングもしていきます。

 ネットワークにしてもセキュリティにしても、なぜそういう作りになっているのかを聞いていくと、やっぱり何か目的があるんですよね。さきほどお話しましたけど、お客さん側が考えているお客さんなりの「こういう攻撃があるかもしれない」っていう考えがあって、それに基づいて対策を何かしら入れている。

 このようにヒアリングを行いながらシナリオの基本部分を考えていきます。たとえばですが、Wi-Fi がありますといったときに、ゲスト用の Wi-Fi があって従業員用の Wi-Fi があって、Wi-Fi の種類には他にも「○○アクセスポイント」とか「テスト用アクセスポイント」とか複数あったとしたときに、じゃあなんでそんなに分けてるんですかというところを聞きながら、シナリオの基本になる部分を考えていきます。


《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る