JAPHICマーク取得企業は、常に強度の高い情報セキュリティ体制を維持しなければいけません。
そうしなければ、マークの使用を継続することが難しくなります。
また適切な情報セキュリティ体制を維持するために必要なのが、ペネトレーションテストです。
今回はペネトレーションテストの概要や実施方法などについて解説します。
ペネトレーションテストの概要
ペネトレーションテストは、日本語で侵入テストを意味し、システム全体の観点でサイバー攻撃耐性がどれくらいあるかを試す方法です。
具体的には、悪意のある攻撃者が実行するような方法に基づき、実践的にホワイトハッカーがシステムに侵入することを指しています。
ペネトレーションテストの差は、ハッキングの技術によって生じます。
そのため、ホワイトハッカーの経験の差が、そのままペネトレーションテストの差として現れます。
脆弱性診断との違い
ペネトレーションテストと似たようなものに、脆弱性診断があります。
脆弱性診断とペネトレーションテストとでは、目的や手法が異なります。
サイバー攻撃者は、システムの脆弱性やセキュリティの不備を狙って攻撃を仕掛けてきます。
脆弱性診断はこれに対し、攻撃の侵入口となる脆弱性を網羅的に検出することを目的としています。
ツールを利用したり、専門技術者が手動で診断したりすることで、脆弱性を見つけ出します。
一方ペネトレーションテストは、メールの添付ファイルやURLのクリックなどから侵入されることを想定したセキュリティ対策の十分性、被害レベルを調査するものです。
想定される攻撃シナリオに従い、攻撃者と同様の手口で侵入や改善などの攻撃を実施するため、専門の技術者が提供しているサービスを利用するのが一般的です。
ペネトレーションテストの実施方法
JAPHICマーク取得企業がペネトレーションテストを実施する際は、準備⇒テストの実施⇒レポートという流れで行います。
まずはヒアリングによる要求分析を経て、テスト対象となるシステムの環境・構成などを分析し、テスト範囲と内容を決定してテスト用の攻撃シナリオを作製します。
このとき、テストを実施するためのツールやログ取得のためのセッティングも行います。
またテストの実施によって脆弱性が発見された場合、その脆弱性によってどのような被害が及ぶ可能性があるのかを調査します。
あるいは機密情報などにターゲットを限定し、システムに侵入してから情報へのアクセスが可能かどうかをテストすることもあります。
そして、最後に発見された脆弱性などについて、テスト結果を伝えるためのレポートを作成します。
ペネトレーションテストの注意点
JAPHICマーク取得企業におけるペネトレーションテストの注意点としては、膨大なコストがかかる場合があるという点が挙げられます。
大規模なシステムのテストやテストの内容、難易度によっては、膨大なコストがかかることがあり、その場合テストに要する日数も数日にわたる可能性があります。
またペネトレーションテストは、特定の機能や部署、資産に対して実施することも可能です。
そのため費用対効果を考えるのであれば、システム全体ではなく、重要なシステムの一部にのみ限定し、テストを実施しなければいけないこともあります。
ちなみに概要でも触れたように、ペネトレーションテストの差はハッキングの技術によって生じます。
実施者は豊富な知識に加え、テストで使用されるツールの操作方法を熟知していることも求められます。
まとめ
堅固な個人情報保護体制が求められるJAPHICマーク取得企業にとって、自社のシステム状況を見直すことはとても重要です。
情報セキュリティを取り巻く環境は目まぐるしく変化するため、従来の方法に捉われていると、あっという間に隙だらけになってしまいます。
またペネトレーションテストを採り入れる際は、事前に手法やコストに関する十分なシミュレーションを行うことが望ましいです。