ペネトレーションテストの話

メイン記事

こんばんは!
最近料理がシチューとカレーになりつつあります。
いっぱいできるっていいよね。。。

今日はペネトレーションテストについてです。

この業界に入って初めて聞いた言葉だったので、少し調べてみました。

ペネトレーションテストとは

ペネトレーションテストとはわざと悪意をもった攻撃をサイトに仕掛け、セキュリティ的に弱い箇所を見つける手法です。

昨年、下記のような事件がありましたね。

カプコンがロシアのハッカー集団からサイバー攻撃を受け、ランサムウェアや情報漏洩による被害を受けました。

ランサムウェアとはwindowsに感染するウィルスで、情報を暗号化し、勝手に鍵をかけられ、解除するために身代金を要求するというものです。

カプコンを攻撃したのは誰か 「世界で最も有害」なサイバー犯罪集団の正体
カプコンがサイバー攻撃を受けた。最大35万件の個人情報が流出した可能性がある。その攻撃を仕掛けたのはどんな集団かというと、世界的に暗躍するロシア系のハッカー集団だという。他にもランサムウェアによる攻撃は勢いを増しており、対応を急ぐ必要がある。

ペネトレーションテストはそんな高度なハッカーが進入してきたと想定したテストですね。

IT業界には似たような言葉として脆弱性診断というものがあります。

その違いは検証する範囲にあるそうです。

ペネトレーションテストの場合はある程度狙いを定め、シナリオを想定し、攻撃を仕掛けます。

それに対し、脆弱性診断はここは安全だろうか、という守りの検証を満遍なく行います。

ペネトレーションテストの場合、サイバー攻撃に対する高い知見をもった技術者やソフトを起用してこそ意味があるので、詳細な報告をもらえる反面、費用は脆弱性診断と比較するとどうしても高額になります。

逆に脆弱性診断ではペネトレーションテストと比較するとコストメリットがある反面、攻撃的な侵入を想定したまでのテストにはなりません。

一番良いのは脆弱性診断を定期的に行いながら、ペネトレーションテストもたまに織り交ぜて行くのが良さそうですね。

昨日に引き続きセキュリティの話でしたが、IT化が進めば進むほど、守る力も求められます。

上記のようなテストを行いながらも、最低限の知識はもっておき、そもそも弱点をなるべく作らない仕組みにしておくことが大事ですね。

セキュリティの認証取得であるISMSについては下記を参照してください。

それでは今日はこの辺で!

2021.1.21 ガオ

コメント

タイトルとURLをコピーしました