【RSA最優秀分析官に聞く】ペネトレーションテストサービスと脆弱性診断の必要性とは？

ペネトレーションテストサービスでは、実際に当社のセキュリティエンジニアがお客様のシステムに対して疑似的な攻撃を行います。そして、お客様のシステムに内在している脆弱性のうち、どの部分が本当に攻撃を受けてしまうリスクが高いのかを特定。それらの詳細なデータと改善策をお伝えするサービスです。

当社は元々セキュリティサービスとして、「マルウェア解析サービス」と「スレットハンティングサービス」を提供しており、それらと合わせてセキュリティ強度を高めていく目的で開発しました。

マルウェア解析は、コンピューターウイルスに感染してしまったあとに、そのウイルスの狙いや予防方法などを分析するサービスです。もう一方のネットワークスレットハンティングは、ネットワークを流れるデータのログから怪しい振る舞いを発見することです。

ネットワークスレットハンティングは、お客様のシステム内のツールに溜め込まれた通信パケットを定期的に分析し、攻撃の有無や兆候、攻撃を受けるリスクなどを分析して、対策と一緒にお客様に報告します。マルウェア解析に比べると、攻撃を受ける前に対策がとれるサービスとなっています。

はい、今回のペネトレーションテストサービスは、スレットハンティングよりもさらに前の段階でセキュリティを強化して対策を講じるために開発されています。

当社も含めペネトレーションサービスの内容自体は、各社で大きな違いはないと考えています。ただ、当社の場合はクラウドセキュリティの領域で新しいサービスを拡充しているので、ペネトレーションサービスで全体をしっかり診断し、システムの脆弱性対策に最適なサービスをスムーズに導入することができます。

攻撃者は常にシステムの脆弱性を探しています。 新たな脆弱性を見つけたら、すぐにそれを自分たちの戦略に取り入れて、徹底的に攻撃に活かしてきます。

脆弱性診断は、脆弱性の有無を診断することを最大の目的としたサービスです。一方、ペネトレーションテストサービスは、脆弱性を利用して攻撃者視点でシステムに侵入できるかを確認して、その結果と改善策を報告するサービスです。

お客様の状況にもよると思いますが、その順番が一般的かと思います。

ペネトレーションテストサービスだけで、システムの脆弱性を網羅することも技術的には可能です。しかし、システム全体のリスクを可視化しようとすると工数が大きくなってしまい、その分コストがかかってしまうのであまりおすすめできません。

ええ、脆弱性診断で脆弱性の洗い出しを行い、ペネトレーションテストサービスで見つかった脆弱性を深掘りしていくのが良いかもしれません。人間で例えるなら、「脆弱性診断は健康診断」、「ペネトレーションテストサービスは精密検査」といったご説明をしています。

お客様からシステムについての情報をヒアリングして、お客様も気づいていなかった脆弱な経路を一緒に見つけていきます。当社からお客様に対して経路を可視化するために、テストシナリオを作成することもあります。

はい、文字や言葉だけでは正確に情報が伝わらない可能性があるので、お客様にご説明する際は、図にしてわかりやすくご説明させていただいております。

マルウェア感染のパターンは現在日常的にスパムメールにマルウェアがついてばら撒かれているので、どのようなお客様でも直面する可能性が高いです。そのため、ご提案する機会が多いシナリオだと思います。

はい、データを持ち出されるというのは攻撃者にとって最終段階であり、何としてでも食い止める必要があります。実際の案件でも、お客様がコストをかけてでも弱点を潰したい箇所を突き詰めていくと、データを持ち出されるかどうかを確認したいというところに落ち着くケースが多いです。

外部公開リソースからの侵入も十分ありえるケースです。例えば、Webアプリケーションが公開されていて、そのWebアプリケーションのバックエンドにクレジットカード情報などの個人情報がデータベースに詰まっているとします。

Webアプリケーションの脆弱性がないか、もしあった場合はその脆弱性を悪用して内部に侵入可能なのかを調べます。もし、奥深くにあるクレジットカード情報にアクセスでき、クレジットカード情報などを持ち出すことができるのなら、その攻撃経路を断ち切らないといけないので、一緒に対策を考えていくようなケースです。

診断作業が終わりましたら、診断レポートという形でドキュメントを納品しております。その後、テストを実施したエンジニアと質疑応答しながら対応を考えていきたいお客様には、個別で最適なソリューションも提供しています。

お客様の許可をいただいた上で、技術レベルの高い当社のエンジニアが、悪意を持った攻撃者と同じ手法や手順でお客様のセキュリティを本気で突破しようとします。攻撃者視点でシステムを診断できるため、お客様のシステムが直面しているリスクがわかりやすくなります。悪意を持った攻撃者に攻撃された結果がわかることが一番大きなメリットです。

正直なところ、自社システムの脆弱性がわかったとしても大きく驚かれるお客様はほとんどいらっしゃいません。なぜならご依頼される時点でシステムの課題は認識しており、複数のペネトレーションテストサービスを検討していることが多いからです。そのため、結果そのものよりも見つかった脆弱性をどのように改善しようかということに意識を向けられるお客様が多い印象です。

お客様が導入しているセキュリティ・セキュリティソリューション・ファイアウォールがきちんと機能しているのか確かめていただきたい、というご要望が多いように思います。例えば、お客様のセキュリティが一層の場合はその脆弱性がわかり、多層防御を検討することにつながります。やはり実際に攻撃を受けてみないと、多層防御の必要性が実感しにくいのだと思います。

攻撃に特化した練習用の環境を社内に整備しており、そういった環境で日々技術を維持・開発しています。経験上、堅牢だと思うシステムの脆弱性を調べて、上手くいきそうな攻撃法が見つかったら試します。そして、上手くいく手法であれば、ペネトレーションテストの戦略に組み込んでいく。日々積みあげてきたセキュリティの知見があるからこそ、精度の高いペネトレーションテストサービスを提供できるのだと思います。

はい、自社開発システムの診断も行っていますが、自社サービスの診断にリソースを割いてお客様の依頼に対応できなくなってしまったら本末転倒です。そのため、基本は外部のお客様向けのサービスとして体制を整え、必要に応じて当社の内部システムをみるようにしています。

技術的なところは問題ありませんでしたが、人的なリソースが少し悩みどころでした。各チームの中核メンバーを集めて、いわば“ドリームチーム”としてペネトレーションテストチームを構成したため、各チームのリソース調整に苦労しました。既存のサービス品質も落とさないことを常に意識しています。

ビジネスを進めていく上でセキュリティの強化は重要ですが、セキュリティ強化に時間やお金を取られ過ぎては本末転倒だと考えています。適切なサービスの選択からツールの運用までを専門会社が行うことで、お客様はスムーズに本業であるビジネスに専念できるようになります。

当社もクラウドセキュリティ戦略強化で、クラウド型ID管理サービス(IDaaS)「ID Entrance」の提供を開始するなどクラウドセキュリティの選択肢を増やしている最中です。そのため、お困りになってご相談に来られたお客様に良いサービスをご提案できるようになるはずです。そのような形でお客様がお困りになっていることを、なんでもご相談していただける窓口になっていきたいと考えております。