インベスト・イン・ババリア
スケッチブック
Dr. Hermann Gumpp
ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学(LMU)や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所(NII)での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。第44回 シミュレーションでセキュリティー強化?
脆弱性を見極める「侵入テスト」
このコラムで繰り返しお伝えしてきたように、サイバーセキュリティーの勝者となるには先手必勝、つまりプロアクティブ(積極的)でプリベンティブ(予防的)な行動が鍵となる。そこで、システムの脆弱性を見極め、どのデータが盗まれ得るかを確認する方法としておすすめなのが、「侵入テスト」(ペネトレーションテスト、略称ペンテスト)である。
通常の手順としては、企業のトップがサイバーセキュリティーの専門班を外注。そして、本物の攻撃者と同じツールを使ってシステムに侵入させてみたり、その証拠としてシステムから実際にデータを取り出させたりする。できるだけ実際の攻撃に近いシミュレーションにするために、IT部門には知らせずに行うことがほとんどだ。
五つのフェーズでテストを実施
❶ 調査:ここでは脆弱性を調査し、特に企業や組織全体にダメージを与えかねない潜在的な弱点が特定される。例えば、ITには疎いが、広範なアクセス権限を持つ年配の管理職者などは、狙われやすい「弱点」の一つとなる。
❷ スキャン:専用ソフトで全システムを自動スキャンし、技術的な脆弱性を見つけ出し、攻撃手段(エクスプロイト)を決定する。
❸ アクセス:これまでのフェーズで得られた情報をもとに攻撃を実行し、システムに侵入する。本物の攻撃者と同様、テストを実施する「ホワイトハッカー」も、Metasploit(メタスプロイト)のような高度に自動化されたツールを使用する。
❹ アクセスを維持:データが流出していることがばれないよう、アクセス状態を長期に渡り維持し、毎日ごく少量ずつデータを盗み取る。こうすることで、誰かに疑われる可能性を低く抑える。
❺ 証拠隠滅:最後にログファイルなどの証拠を削除する。
全てのフェーズが終了した後に、侵入テストで行った攻撃を分析し、脆弱性について議論して修正する。この方法を使えば、攻撃者の一歩先を行くことができるため、どの企業にもぜひ定期的な侵入テストをおすすめしたい。
侵入テストを実施して初めて、ショックで「目覚める」企業も少なくない
