セキュリティ被害はあなたの半径1m以内でも起きる 第12回

金融庁、サイバー攻撃の対策訓練！ でも俺らに関係あるの？←あります

　Photo by Blue Coat Photos

　金融庁はサイバー攻撃への対応を強化するため、10月24日から27日まで4日間にわたり、およそ80の金融機関と大規模合同訓練を行った。

　銀行や保険会社といった業態ごとに実施し、セキュリティーの管理態勢を検証。「自社ウェブサイトを閲覧した者からウイルスに感染したとの苦情」「自社ウェブサイトに、ウイルスが仕込まれていることが発覚」などのシナリオに対し、組織内部／外部との相互連携を取れるかを演習で確認した。

　訓練経験の浅い中小地域金融機関を中心に、対策の底上げをめざすのがねらいだ。金融庁によれば、本演習の結果は参加金融機関以外にも業界全体にフィードバックするほか、今後も継続的に実施する予定という。

　金融機関や大企業などは、サイバー攻撃の被害に遭うと、多くの人の生活にも影響が及んでしまう。そんな企業のシステムやネットワークに欠陥がないかを確認する試験が「ペネトレーションテスト」だ。

　そんなものは自分に関係ない……と考えるのは早計というもの。自分が勤めている企業、通っている学校のシステムがサイバー攻撃にさらされたとき、あなたが日常的に行なっているさまざまな業務、タスクは無事にこなせるだろうか？

　そう、ペネトレーションテストは、我々が毎日なにげなく利用しているシステムやネットワークを、明日も無事に使えるように試してくれるものなのだ。ましてあなたが、システムの運営、ネットワークの管理に関わる立場になる（かもしれない）ならば、「知らなかった」というのはあまりよろしくないだろう。

　McAfee Blogの「システムの脆弱性を調べる『ペネトレーションテスト』とは」を読んで、セキュリティーへの知識を高めてほしい。

システムの脆弱性を調べる「ペネトレーションテスト」とは

　「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に、「今だから学ぶ！」と題して、連載でセキュリティの頻出用語を解説します。第26回は、「ペネトレーションテスト」についてです。

　ペネトレーションは、英語では浸透、貫通、侵入という意味であるpenetrationという単語からきています。そのため、ペネトレーションテストは、侵入テストとも呼ばれます。

　ペネトレーションテストでは、システム管理者側が実際にさまざまなテクニックを使って侵入を試みることで、システムやネットワークの脆弱性がないかを調査します。

　ペネトレーションテストは、テストを実施する企業によってテスト項目は異なります。多くの場合は、外部からと内部からのテストを実施します。

　これらのテストでは、対象システムにアクセスすることで、不正ログインや乗っ取り、サービス停止、機密情報の取得が可能か否かなどを調べます。さらに、外部からのテストでは、DoS攻撃、DDoS攻撃といった攻撃に対して、どの程度耐えることができるかも調査されることがあります。

　ほとんどの企業では、最適なペネトレーションテストに必要な体制の構築、疑似攻撃手法の確立などを実施することは大変です。また、一度ペネトレーションテストを実施すると「これで大丈夫」と安心してしまう場合もあるようですが、ことセキュリティに関しては継続的に見直し、改善するサイクル作りが不可欠です。導入して終わりではなく、運用にも目を配る必要があります。そして、万一の自体に備えてCSIRTやSOCといった組織を整備し、情報共有のプロセスを整えておくことも重要です。

　そこで、インテル セキュリティのプロフェッショナルサービス部門では、日々さまざまなお客様からの要望を受け、設計から導入支援、ペネトレーションテストをはじめとするセキュリティ診断やトレーニングを実施しています。

　ペネトレーションテストを行うツールとして、有償で提供されているものだけでなく、無償で公開されているものもあります。

　インテル セキュリティでも、安全なソフトウェア開発に役立つ様々なツールを無料で提供しています。ペネトレーションテスト用には、以下のウェブサイトに紹介してあるツールがよく利用されています。
http://www.mcafee.com/jp/downloads/free-tools/index.aspx

　ご利用条件については、マカフィー無料ツールの使用許諾条件をご確認ください。
http://www.mcafee.com/jp/resources/legal/mcafee-software-free-eula.pdf

　興味のある読者は、ぜひダウンロードして試してみてはいかがでしょうか？