「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第26回は、「ペネトレーションテスト」についてです。
ペネトレーションは、英語では浸透、貫通、侵入という意味であるpenetrationという単語からきています。そのため、ペネトレーションテストは、侵入テストとも呼ばれます。
ペネトレーションテストでは、システム管理者側が実際にさまざまなテクニックを使って侵入を試みることで、システムやネットワークの脆弱性がないかを調査します。
ペネトレーションテストは、テストを実施する企業によってテスト項目は異なります。多くの場合は、外部からと内部からのテストを実施します。
これらのテストでは、対象システムにアクセスすることで、不正ログインや乗っ取り、サービス停止、機密情報の取得が可能か否かなどを調べます。さらに、外部からのテストでは、DoS攻撃、DDoS攻撃といった攻撃に対して、どの程度耐えることができるかも調査されることがあります。
ほとんどの企業では、最適なペネトレーションテストに必要な体制の構築、疑似攻撃手法の確立などを実施することは大変です。また、一度ペネトレーションテストを実施すると「これで大丈夫」と安心してしまう場合もあるようですが、ことセキュリティに関しては継続的に見直し、改善するサイクル作りが不可欠です。導入して終わりではなく、運用にも目を配る必要があります。そして、万一の自体に備えてCSIRTやSOCといった組織を整備し、情報共有のプロセスを整えておくことも重要です。
そこで、インテル セキュリティのプロフェッショナルサービス部門では、日々さまざまなお客様からの要望を受け、設計から導入支援、ペネトレーションテストをはじめとするセキュリティ診断やトレーニングを実施しています。
ペネトレーションテストを行うツールとして、有償で提供されているものだけでなく、無償で公開されているものもあります。
インテル セキュリティでも、安全なソフトウェア開発に役立つ様々なツールを無料で提供しています。ペネトレーションテスト用には、以下のウェブサイトに紹介してあるツールがよく利用されています。
http://www.mcafee.com/jp/downloads/free-tools/index.aspx
ご利用条件については、マカフィー無料ツールの使用許諾条件をご確認ください。
http://www.mcafee.com/jp/resources/legal/mcafee-software-free-eula.pdf
興味のある読者は、ぜひダウンロードして試してみてはいかがでしょうか?