攻撃者の視点でチェックする「ペネトレーションテスト」とペンテスターになるのに必要な資格とは

ペネトレーションテスト（Penetration Test 略称：ペンテスト）は直訳すると「侵入テスト」となりますが、対象のシステム自体に対して、悪意のある攻撃者がおこなうツールなどを使った模擬的なハッキングを実際に仕掛けて、現在のセキュリティ対策が防御できるのか、または想定した防御機能が発揮できるのかを確認するためのテストです。

通常はセキュリティ対策のスペシャリストであるホワイトハッカーなどが、お客様からの依頼や承諾を得た上でシステムの内部へ侵入できるかをテストします。

実際にはテストを実施するホワイトハッカーのハッキング技術の高さがテストのレベルを左右するため、ペネトレーションテストを設計・実施できるホワイトハッカーはペンテスターとも呼ばれ、セキュリティやプログラム、ネットワーク、データベースなどに関する広く深い知識が要求されます。

 

 

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと並んで、よくセキュリティレベルの判断に使われるものに「脆弱性診断」があります。

脆弱性診断は、既知の脆弱性のうち悪用された場合にシステムの意図的または意図的ではない侵害につながる可能性のあるものを、「CVSS：共通脆弱性評価システム」という評価で脆弱性の種類や危険に応じて事前に特定・ランク付けすることで、今後おこなうべきセキュリティ対策を理解し、社内に報告することです。

対象システムのセキュリティレベルを網羅的に把握することができますが、本当に防げるかはチェックしていません。

ペネトレーションテストの目的は、実際にシステムに侵入し脆弱性を悪用した攻撃をおこない、対象システム内に実装されているセキュリティ機能が本来の回避または無効化の機能を発揮できるかを確認することです。

 

脆弱性診断により現在のセキュリティ対策を全体的に把握し、整備に必要な費用を抑えつつ計画的に整備しながら、定期的にペネトレーションテストを実施して、それらが本当に有効かどうかを確認する必要があるといえます。

 

 

ペネトレーションテストの手法

ペネトレーションテストの手法にはテスト対象に関する各種情報（システム構成や機器情報など）を事前に共有しておこなう「Whitebox型」と、共有せず情報の入手から攻撃に含める「Blackbox型」の2つがあります。

Blackbox型のテストの方がより実際に近い環境でのテストができる一方、限られた時間内でテストをおこなう場合、費用対効果の面ではWhitebox型と比べて充分な成果が得られない可能性があります。

 

 

実施型式

対象となる機器やシステムによってテストの目標や情報公開レベルに応じて実施します。

 

シナリオ型

テストの目的に応じて、考えられる攻撃シナリオを複数想定し、テストする方法です。

侵入、権限昇格、認証情報取得、内部への侵入、データ持出しなど、複数の攻撃シナリオを策定して実施されます。

 

脅威主導型

（TLPT：Threat-Led Penetration Test）

シナリオ型よりもさらに戦略的なアプローチで、脅威やリスクを評価するテスト方法です。イギリス、EUや香港では、当局が関与し策定したTLPTが多く実施されています。

 

PCI DSS向け

クレジットカード情報やその取引情報保護のためクレジットカード会社が共同で策定したグローバルセキュリティ基準「PCI DSS」に準拠したテストです。

PCI DSSでは、保護すべき情報として12の要件が決まっており、それに沿って対策が実施される必要があります。

 

組込みシステム

組込みシステムにおいて最も注意すべき脅威はバックドアに成りうる脆弱性です。

また攻撃者が物理的に入手可能な機器がある場合は、そのリバースエンジニアリングも最大の脅威となりえるためより注意が必要です。

 

 

ペネトレーションテストの資格について

ペネトレーションテストの実施者ペンテスターの資格としては、日本が主催するものはまだ少なく、主にアメリカが主催しているものがほとんどです。

 

Certified Ethical Hacker(CEH)

主催：EC-Council

アメリカで最もポピュラーなペネトレーションテスターの資格が、CEHといえます。

Certified Ethical Hackerは直訳すれば認定倫理的ハッカーですが、日本国内では「認定ホワイトハッカー」の名称で知られ、ホワイトハッカー向けの国際認定資格としても有名です。悪意のある攻撃者が使用するサイバー攻撃の技術をあえて学ぶことで、サイバー攻撃に対する実践的な知識や技術を身につけ、より破られにくいセキュリティの構築を目指すことを目的とした資格です。

現状日本での知名度は低いですが、アメリカ防総省では情報システムにアクセスするスタッフにはCEHの取得が必須条件となっている信頼性の高い資格と言えます。

またCEHのメリットとしては、名前が知られていて比較的研修費が安いため、ペンテスターとしてのアピールがしやすい資格といえます。

 

 

CompTIA PenTest+

主催：CompTIA

CompTIA PenTest＋は、セキュリティ診断に必要な知識やスキルの修得ができる、サイバーセキュリティ技術者向けの認定試験で、脆弱性の評価・特定、報告スキル、ペネトレーションテストの方法などを評価します。

CompTIA認定資格は特定の製品や技術に依存しないため、世界中のニーズに応えられる資格といえます。

また、日本語による試験配信が開始されています。

資格保有期限（3年間）が設けられているため、資格を維持するには更新を行なう必要があります。

 

 

Offensive Security Certified Professional(OSCP)

主催：Offensive Security社(米国)

ペネトレーションテストの資格で最近名前が知られてきており、ベンダーの選定基準としてOSCPホルダーの有無を基準にしているところもあるので、今後はこちらの資格が注目されていく可能性も高いです。

この試験は24時間以内にテスト環境に対してハッキングを成功させ、その様子を全て報告書としてまとめて提出するという実践重視の資格です。具体的には、攻撃に必要な情報収集からはじまり、その後の発見された脆弱性を利用したエクスプロイトの作成・実行など、あくまで攻撃技術に焦点が当たっています。

受験はオンラインでも受けることができるため、すべて日本国内で完結することができますが、試験はすべて英語で提出するレポートも営業で記述する必要があります。

 

 

Global Information Assurance Certification(GIAC)

主催：SANS Institute

SANS Instituteが主催する情報技術に関する資格群で、各種の専門領域ごとに資格が設定されていて、ペネトレーションテスト関連の資格だけでも、複数の資格があり、詳細でより深い知識が獲得できます。

ガートナーグループは、情報セキュリティ分野で最も上位の資格はGIACであると評価しています。

様々な専門領域ごとに資格が取得できる一方、それぞれの分野の資格を受験し維持し続けるのに費用が多くかかるというデメリットもあります。

 

IACS White Hacker Certification(IWHC)

主催：IACS（国際サイバーセキュリティ協会）

日本の団体であるIACSのサイバーセキュリティ資格のひとつであり、ホワイトハッカーとしてサイバー攻撃を行い、相手の脆弱性を突くことができるスキルを持つ人が取得することができる資格です。

 

まとめ

悪意のある攻撃者による攻撃は年々多様化・複雑化し、攻撃手法も進化しています。

ペネトレーションテストや脆弱性診断も一度実施して問題なかったとしても、永久に安全というわけではありません。安全性の担保のために定期的に実施することをお勧めします。