【ペネトレーションテスト1/2】本当にやる意味あるの？

実はお仕事でセミナー講師をしたりしているのですが、そのプレゼンテーションの中でペネトレーションテストについてまとめる機会がありましたので、プレゼンテーションでは書ききれない詳細を二回に分けてこちらで備忘録的に記録しようと思います！( ^)o(^ )

第一回目のテーマは、　本当にやる意味あるの？

皆様も一度は聞いたことがあるであろうペネトレーションテストですが、そもそも何なんでしょうか？そしてやる意味はあるのでしょうか？

今回はこのあたりについて分かりやすく解説できればと思います！

まずは、ペネトレーションテストとは？についてです。

・ペネトレーションテストとは

→OWASPでは「明確な意図を持った攻撃者にその⽬的が達成されてしまうかを検証するためのセキュリティテストの⼀種」と紹介をされていますが、僕は分かりやすくするため「自分たちの組織が、攻撃者から本当に狙われて、実際に情報を盗まれたりするのか？を確認するテスト」と紹介していることが多いです。

重要なのは「本当に」「実際に」という単語です。ここはペネトレーションテストでは重要なポイントとなりますので必ず覚える必要があります(^^♪

※下記で重要ポイントをご紹介致します。

・ペネトレーションテストの重要ポイント

→以下の３つ、最悪は単語だけでも良いので覚えてください。

①広範囲

→ペネトレーションテストの対象は特定のシステムではなく、組織全体になります。この点は脆弱性診断が特定のシステムを対象としているのと比較するとかなり異なる部分になります。

②あの手この手で

→ペネトレーションテストでは、実際に疑似攻撃を行いテストを実施致しますが、疑似攻撃の方法は様々です。サーバOSの脆弱性、アプリケーションの脆弱性を利用する攻撃はいかにもハッカー（正しくはクラッカーと言います）っぽい手段はもちろんですが、例えば、テスト対象組織のビルの前にウイルス入りのUSBを落としておいて、組織の人が拾ってPCに挿すのを待つ、みたいな外国のスパイ映画にありそうな手段の使用もOKです。とにかく自由に疑似攻撃を行います。

③攻撃実現性

→ここは非常に重要です。説明のために脆弱性診断について軽く触れますが、脆弱性診断というのはテスト対象にある脆弱性（＝弱点）の有無を一定の基準（＝例えばOWASPのTOP10）のもとに洗い出しますが、その脆弱性が「本当に」テスト対象の組織で使用できるのか、「実際に」情報を盗むことはできるのかという点は無視されています。なので脆弱性診断を毎年やられているご担当者様の中には、

「脆弱性がみつかるの良いが、その脆弱性はシステム要件等で意図的に存在しているので、見つけてくれてもあまり意味がない」

なんて気持ちなられる方もいらっしゃることと思います( ；∀；)

一方、ペネトレーションテストは、本当に、実際に、攻撃が成功するかどうかまでをテストします。

さて、ここまででペネトレーションテストがなんとな～くどういうものなのか、ご理解を頂けたと信じておりますが、ご理解を頂けた方は自然と今回のテーマである本当にやる意味あるの？の答えをお持ちになっているかと思います(^_-)-☆

つまり、

「組織にある脆弱性が本当に攻撃に使用されるのか？」

「組織がもつ価値ある情報が実際に盗まれることはあるのか？」

このようなことを把握する必要がある組織、ご担当者様にとっては、ペネトレーションテストは非常に効果があり、意味のあるものと言えるかと思います。

今回は以上です。最後までありがとうございました！！！！

※第二回目は第一回の補足として「ペネトレーションテストの分類」についてご紹介しようと思います。