執筆：吉成 大知、井蛙 官兵衛

　さて、いよいよ具体的な実施手順について説明していきたい。ペネトレーションテストの実施手順は、将棋の局面のようにそれぞれ特徴がある。その局面は「序盤」「中盤」「終盤」と大きく分けて考えることができる（図1）。

外部からの脅威に対するペネトレーションテスト実施手順の大枠
※クリックで拡大

　「序盤」は情報収集の局面である。対象システムの情報を取得し、その情報を基にさらなる情報を取得するなど、「中盤」に向けての布石を打つ。この局面では確立された「定石」があり、本章で紹介する「バナーチェック」までがこれに相当する。

　「中盤」は、対象システムに実際に侵入が可能かどうかを検証する。別の言い方をすれば、攻撃を試行する局面である。本章で紹介する「パスワード推測」や次章以降で紹介する「Webサーバのセキュリティチェック」が相当する。

　「終盤」は詰めの局面である。「Exploitコード」の実行や「DoS攻撃」がこれに相当する。対象システムが「Exploitコード」や「DoS攻撃」に対して脆弱であった場合、システムに侵入できてしまう可能性もあるほか、対象システムやサービス自体がダウンしてしまう場合もある。そうなってしまうと、さらなる検証は極めて困難になる。つまり、これらの攻撃は最後の手段としておく必要があり、必然的に「終盤」に行われることになる。

　このような6つの対策に加えて、やっておきたいのが下記に記載する8つのチェックである。

1.公開情報のチェック 　公開情報とは、ネットワーク上などで広く公開されている対象システムの情報である。たとえば、WebサイトのURLやWHOIS情報、DNS情報などが公開情報に相当する。これらの情報をチェックすることで、攻撃のヒントとなるような不用意な情報が漏えいしていないか確認する（画面1）。

画面1 ANSIによるWHOIS情報の例

2.ホストアップチェック

　ホストアップチェックとは、対象システムにアクセスが可能かどうかをチェックすることである。これにより、想定外のサーバやサービスが立ち上がっていないか、またF/Wなどによって正しくアクセス制御が実施されているかを調査できる。ホストアップチェックの結果で得られたアクセス可能であったIPアドレスと実際のシステムを突き合わせることで、非公開のサーバなどが正しく防御されていることを確認することにもなる。