<【ペネトレーションテスト2/2】ペネトレーションテストの分類>
さて、今回は前回に引き続き、ペネトレーションテスト。
先日お仕事のセミナー講師も無事に終了しましたので、ペネトレーションテストに関する記事の第二回として、
ペネトレーションテストの分類
についてご紹介したいと思います。
第一回目では「ペネトレーションテストとは?」というテーマでペネトレーションテストの基本的な概念や特徴をご紹介させて頂きました。
もし、「忘れてしまった・・・」という方は第一回目と併せて読んでみてください ^^)
【ペネトレーションテスト1/2】本当にやる意味あるの?
https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613577861424
さて、今回のテーマであるペネトレーションテストの分類についてご紹介していきます。ペネトレーションテストでは「テストをされる側の視点(例:お客様)」と「テストをする側の視点(例:ホワイトハッカー)」から分類をすることができます。
まずは、「テストをされる側の視点(例:お客様)」からです。
※ページ最下部に参考資料がございます。
「テストをされる側の視点(例:お客様)」
・ブラインドテスト
→テストの実施をシステム担当者等が知っている状態でのテスト。
具体的には×月×日~○月○日までセキュリティに関するテストをしますよ~っとメールで案内をした上で、ペネトレーションテストをするようなケースです。
→テストの実施をシステム担当者等が知らいない状態でのテスト。
こちらは一斉の情報を知らせずにペネトレーションテストを実施します。学生時代に「抜き打ちテスト」という名の突如訪れる地獄の時間があったかと思いますが、ダブルブラインドテストはそれよりも厳しです。学生時代に例えて言えば、普段の授業で何気なく回答したミニテストがそのまま本番テストとして採点されるような感じです。
(名前と選択肢の(ア)だけを選んで回答していた僕でいえば即死ですね・・・)
続いては、「テストをする側の視点(例:ホワイトハッカー)」です。
「テストをする側の視点(例:ホワイトハッカー)」
・ゼロナレッジ
→具体的な例でご説明します。例えば、ホワイトハッカー側には「△△株式会社のオンラインバンキングに不正アクセスできるかテストしてくれ」とだけ依頼され、後は全てホワイトハッカーが頭を使い、あの手この手でテストをします。
最も現実味のあるテスト結果が得られますが、サービス期間は半年~1年程度と長く、コストも高額となります。
・部分的なナレッジ
→具体的な例でご説明します。例えば、ホワイトハッカー側には「△△株式会社のオンラインバンキングに不正アクセスできるかテストしてくれ。オンラインバンキングのFQDN、IPアドレス、開放ポートは443です」と依頼され、与えられた部分的なナッレジをもとにホワイトハッカーが頭を使い、あの手この手でテストをします。
ゼロナレッジ程ではないですが、現実味のあるテスト結果を得ることができ、一般的にはサービス期間もコストもゼロナレッジよりは控えめです。(※短く、安い)
・完全なナレッジ
→具体的な例でご説明します。例えば、ホワイトハッカー側には「△△株式会社のオンラインバンキングに不正アクセスできるかテストしてくれ。オンラインバンキングのFQDN、IPアドレス、開放ポートは443で、テストアカウント・口座をホワイトハッカー毎に提供します」と依頼され、与えられたナッレジをもとにホワイトハッカーが頭を使い、あの手この手でテストをします。
ゼロナレッジ、部分的なナレッジと比べると現実味は薄れますが、一定以上の現実味のあるテスト結果を得ることが可能です。一般的にはサービス期間、コスト共に最も控えめとなります。
ここまでで分類についてのご紹介は終わりとなります。ここまでの内容をしっかりと説明することができれば、ペネトレーションテスト検討する際には頭の中でペネトレーションテストの分類を整理でき、最終的には比較検討をしやすくなるはずです(^^)/
尚、「どの分類のペネトレーションテストを行うべきか。」
という最も悩まれるお題については何度考えても「組織毎に異なる」としか答えがでてきませんでした。( ;∀;)
僕からアドバイスとしては、このようなお題について「誠実に」「論理的に」説明・提案をしてくれるサービス業者・担当者をみつけることが大事な気がします。
僕もそうなれるよう日々、勉強をしていこうと思います!
今回は以上です!ありがとうございました。
※参考資料、以下