COLUMN COLUMN
2021.8.30 /
脆弱性診断とペネトレーションテストとの違いとは? 日本とアメリカでの違いと必要性をご紹介
脆弱性診断とペネトレーションテストのニーズが高まっています。しかし、脆弱性診断とペネトレーションテストの具体的な違いとは何なのでしょうか?そのヒントは、日本とアメリカの脆弱性診断とペネトレーションテストの違いにあったようです。脆弱性診断とペネトレーションテストとの違いを、日本とアメリカの事例を踏まえて解説いたします。
脆弱性診断とペネトレーションテストとの違いとは?
脆弱性診断(読み方:ぜいじゃくせいしんだん)とは、ウェブサイトやスマホアプリ、IoT製品等のOS、ミドルウェア、ネットワークに潜む、セキュリティの問題点や欠陥を見つける作業のことです。システム上のセキュリティホールを発見するための診断作業と言えます。このような作業を、専門ベンダーの脆弱性診断サービスやツールを導入して、診断してもらいます。
脆弱性診断を必要とする企業は年々、増えています。その理由は一般企業や公共自治体のサーバやシステム等から重要・機密情報、個人情報を搾取し、身代金を要求するケースが増えているからです。脆弱性診断を受けておけば、このような攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことができます。セキュリティ事故を減らすことができるのです。
一方で診断サービスの分類の一つにペネトレーションテストという診断があります。脆弱性診断とペネトレーションテストとの違いとは、何なのでしょう?一般的にペネトレーションテストとは、セキュリティの専門家による攻撃者視点を取り入れた、セキュリティテストの手法です。「専門家による攻撃者視点のテスト手法」ということは、外部からの攻撃者を想定したリスクの検証や、すでに内部に侵入している前提で影響範囲がどこまで広がるのかの検証がイメージされるでしょう。
確かに「セキュリティの問題点や欠陥を見つけるサービスやツールが脆弱性診断サービス」であり、「外部や内部からの攻撃者に対応するためのテストが、ペネトレーションテスト」という考え方が一般的です。つまり脆弱性診断は「ツールやサービスで実行する」、ペネトレーションテストは「セキュリティの専門家が攻撃を前提にテストを実行する」がみなさんのイメージも近いと思います。しかし、これは極めて日本的な考え方なのです。その考え方を理解するためには、日本とアメリカの脆弱性診断とペネトレーションテストの考え方の違いを知る必要があります。
日本とアメリカの脆弱性診断とペネトレーションテストの違いと、その必要性
日本では「ツールやサービスで実行する脆弱性診断」と「セキュリティの専門家が攻撃を前提にテストを実行するペネトレーションテスト」のイメージが確立しています。これはこれで間違いではないのですが、日本では脆弱性診断とペネトレーションテストの定義の境界線が少し曖昧です。ではアメリカの脆弱性診断とペネトレーションテストの定義はどうなっているのでしょうか。
アメリカでは、ツールによる脆弱性診断を「Scan(スキャン)」と呼びます。つまりツールで実行する範囲は、ある一定の問題点や欠陥、セキュリティホールを見つけるまでの作業としているのです。「脆弱性スキャンツールによる簡易診断」までが、Scan(スキャン)という定義です。
そして問題点や欠陥、セキュリティホールを見つけた後は、「人の手」で実行することをアメリカでは前提にしてします。セキュリティベンダーにはエンジニアによる作業の脆弱性診断を求めるのです。このようなエンジニア作業の脆弱性診断サービスをペネトレーションテストと、アメリカでは呼んでいます。では具体的に、どのようなペネトレーションテスト内容なのでしょうか?
【アメリカでのペネトレーションテストとは?】
1.エンジニアの判断により最適な脆弱性診断ツールを使用して調査し、結果を診断する
2.エンジニアが主導して検証を行い、検出された脆弱性が実際に悪用可能か?を診断する
3.検出された脆弱性を実際に悪用してどこまで影響を及ぼせるか?を診断する
4.実際に特定ファイルを搾取し、脅威シナリオを診断する。インシデント対応評価を加えた診断をする
5.ホワイトハッカーを想定した脅威ベースのペネトレーションテストを実行し診断する
上記の5種類は全てペネトレーションテストに分類されています。アメリカと日本ではこのような脆弱性診断とペネトレーションテストの認識の違いがあるのです。まとめますと下記のような違いとなります。
【日本】
脆弱性診断・・ツールとエンジニアの主導で脆弱性を確認していく作業
ペネトレーションテスト・・セキュリティの専門家が特定の攻撃シナリオを前提にテストを実行する作業
【アメリカ】
脆弱性診断・・「Scan」と呼ぶ。脆弱性スキャンツールによる簡易診断レベルの作業
ペネトレーションテスト・・Scan後に必要とされるすべての診断作業(上記1~5)
もちろん日本とアメリカのセキュリティに対する文化や習慣が違います。よってどちらが正しいというものはありません。。しかし大事なことは「ペネトレーションテストは含む?含まない?」という質問が出た時に、日本とアメリカのツールやサービスにより、そのニュアンスは変わってくるということです。日本では脆弱性診断とペネトレーションテストの定義が少し曖昧であるため、発注する際には提供される診断がどのようなものなのか内容に注意しましょう。
脆弱性診断とペネトレーションテストで最も重要なことは、冒頭に申し上げた、セキュリティの問題点や欠陥を見つけ、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことです。この必要性は忘れないようにして、セキュリティ強化に取り組んでいきましょう。
脆弱性診断にAI(人工知能)を組み込む方法がある
脆弱性診断やペネトレーションテストには、様々なツールやサービスがありますので、よく調べて選んでいただければと思います。今回は、AI(人工知能)を使う脆弱性診断サービスをご紹介したいと思います。「脆弱性診断にAIを使う?」なんて、まだあまり聞いたことがないですよね。ところがすでに登場し、脆弱性診断の生産性を上げてくれているのです。
株式会社CYBERGYM JAPAN(サイバージムジャパン)は、脆弱性診断サービス「ImmuniWeb(イミュニウェブ)」を提供しています。最大の特長はAI(人工知能)を使って、脆弱性診断サービスを実行してくれる点です。そのため従来の脆弱性診断手法と違い、アプリケーション全体を対象とした網羅的な脆弱性診断に適しています。
従来の脆弱性診断は、エンジニアがツールを使用しながら検証を進め、リクエストや画面遷移数の単位で診断していく方法が一般的です。この手法ではアプリケーション規模が大きければ大きいほどエンジニア工数がかかるためコストが膨れてしまいます。またエンジニアの知見に頼ることが品質向上のポイントとなるため、最新の脆弱性診断情報の取得やその対策は‘人の手’に頼ることになります。
そこでImmuniWeb(イミュニウェブ)は、世界の最新のセキュリティガイドラインや脆弱性情報を学習しているAIを使い、脆弱性診断を行います。常に学習し続けるAIアルゴリズムと、膨大な検査データによって選択される脅威シナリオで脆弱性診断を実行していくので、最新の攻撃手法に対応することができます。そしてAIアルゴリズムでの診断実行により従来の人間が行う脆弱性診断の約3倍のスピードで脆弱性を検出します。そして暗号通信強度やWebサーバを一括診断し、検出された脆弱性は必ずエンジニアが再現性確認などのチェックを行います。
AIアルゴリズムにより診断のスピードが上がるのはもちろんのこと、検出された脆弱性の再現性チェックや複雑な構成の箇所に関しては必ずエンジニアが確認する作業フローになっています。そのためImmuniWebは『AIとエンジニア』の良いところを組み合わせた次世代型の脆弱性診断サービスと言えます。
まとめ
日本では脆弱性診断とペネトレーションテストの定義が少し曖昧ではありますが、脆弱性診断とペネトレーションテストで最も重要なことは「セキュリティの問題点や欠陥を見つけ、セキュリティ事故を未然に防ぐ」ことです。
先ほどご紹介した弊社CYBERGYM JAPAN(サイバージムジャパン)は、急速にサイバー環境の拡大が進む昨今において、サイバーセキュリティを前提としたリスクマネジメントの重要性の高まりを受け、設立されました。サイバーセキュリティ業界で最先端の技術とノウハウを有するイスラエルのCYBERGYM社と提携し、日本及びアジアで、各種サイバーセキュリティトレーニングを弊社専用アリーナでご提供しています。対応チームの構築や強化、組織内レッドチーム養成、脆弱性診断等のサイバーセキュリティトータルソリューションを展開しています。
ペネトレーションテストには、ペネトレーションテスタートレーニングをご用意しています。受講者になるペネトレーションテスターは、攻撃が成立する脆弱性があるかどうかを、ハッキングツールなどを使って調査し、ハッカー側の視点を身に付けて頂きます。仮想サイトをご準備していますので、トレーニング中に仮想サイトへのハッキングを実践して頂けます。
詳しくは「CYBERGYM サイバーセキュリティトレーニング 総合ガイドブック」をご覧ください。サイバー攻撃に対する具体的かつ実践的なトレーニング内容や価格がご覧いただける資料になっています。サイバーセキュリティに対する具体的な解決策を探している方は、ぜひ、当サイトより資料をダウンロードください。
「AI 脆弱性診断サービス ImmuniWeb(イミュニウェブ)基本ガイドブック」は、世界の最新セキュリティガイドラインをAIが機械学習し、AIのアルゴリズムで実行するので、診断スピードが速いサービスをご紹介しています。ウェブサイトやECサイト、スマホ等の脆弱性診断ツールで正確に速く、コストを抑えて実施したいニーズのある方は、ぜひ、当サイトより資料をダウンロードください。