自社のセキュリティ強度を知りたいので、ハッカーに侵入してもらおう!?
デルが擁するホワイトハッカー・アラン氏が語る「セキュリティ最前線」
2015年02月26日 11時00分更新
企業にハックを仕掛ける「ペネトレーションテスト」の実行役が語る
自社のセキュリティ強度を知る最も手っ取り早い方法は、ハッカーに侵入されることだ。ただし、たいていの場合、取り返しのつかない情報漏えいと引き換えにしなければならず、また公開前のサービスには誰も手を出せない。
そこでDell SecureWorksの出番だ。彼らは許可を得た上で、実際にハッキングを仕掛けて問題点をレポートする「ペネトレーションテスト」を請け負っている。同社には、脆弱な箇所を巧みに見つけ出す「ホワイトハッカー」が所属しており、企業にダメージを与えることなく、個人情報や優良IPを実際に奪ってみせるのだ。
今回の動画では、Dell SecureWorks所属のホワイトハッカーでセキュリティ・リスク・コンサルティング・ディレクターのアラン・J・ホワイト氏が、ペネトレーションテストの実際を語ってくれる。
前半は、オープン前のコンテンツ配信サービスをテストした際のエピソード、後半ではペネトレーションテスト時に使うツール類の簡単な紹介だ。
動画では、まずNmap it allと呼ばれるツールでホストを探し当てる。たとえば、www.dell.comに対してポートスキャンを実行すると、瞬時に「2つのポートが開いている」ことがわかる。次にDNSenumというツールで、脆弱性が存在しそうなポートを割り出す。
さらにMetasploitなるツールを使って既知の脆弱性に対する検証を自動的に行ない、仮に脆弱性が存在すればそのまま侵入できてしまうというわけだ。
ともかく、ハッカーが顔出しで自らの“仕事”を解説するという珍しい動画だ。ぜひどうぞ。
この連載の記事
-
第3回
デジタル
顧客ネットワークをさらに強化する、ペネトレーションテストとは? -
第2回
デジタル
こんなに怖い! IoT時代の不正アクセスとその対策 -
第1回
デジタル
編集部のナードが、テクノロジーの未来を妄想してみた - この連載の一覧へ