正しく実施すれば効果も高い物理的侵入テスト

　最初に断っておくが、本稿は物理的侵入テストを否定するものではない。サイトやシステムの脆弱性診断や侵入テスト（ペネトレーションテスト、通称ペンテスト）と同様に有効なセキュリティ対策活動の1つである。だが、この例に限らず、トレンドや流行に乗った安易な実施や過度な期待はやけどの元である。

　これはテストを依頼する側だけでなく、企業からの依頼を受けて実施するセキュリティベンダー側にも言えることだ。この認識を新たにするため、ペンテストの意義や目的について改めて整理してみたい。

　ペンテストはシステムの堅牢性、安全性を検証する手法の1つと言える。システムの保護機能やセキュリティ対策が有効に機能しているか、それが破られたとき警報や検知が迅速に行えるか、といった点を検証することが主な目的となる。そのために、第三者（ペンテスター）が疑似的なサイバー攻撃やハッキングを行い、保護機能が有効か、脆弱性や穴（セキュリティホール）がないかを調べる。その結果をレポートとしてまとめることで、システムの堅牢性や耐攻撃性を明らかにする。問題があれば対策の改善につなげる。

脆弱性診断との違い

　類似のテストに脆弱性診断というものもある。よくペンテストとともに語られるが、脆弱性診断とペンテストは実施の目的と手法が異なる。脆弱性診断では、主に既知の脆弱性への対策ができているか、脆弱性が残っていないかを調べる。診断の中で実際にサイトやシステムにアクセスする場合もあるが、自動化ツールや検証ソフトウェアを利用した静的なチェックが主体となる。


　たとえば、ソフトウェアのバージョンやシステムが利用しているライブラリを調べて、既知の脆弱性をチェックするといった具合だ。ソースコードを解析して、バッファオーバーフローやSQLインジェクションのような脆弱性がないかをチェックすることもある。業務フローを解析して、手順の不備によるトラブルや障害、サイバー攻撃につながる危険性はないかを調べることもある。脆弱性やリスクの有無は診断できるが、防御機能、保護機能が有効化までの判断はできない。脆弱性診断は、セキュリティ要件の静的診断とも言える。既知の脆弱性や問題の発見・検証に有効である。

　対してペンテストは、ブラックリストテスト的な動的テストに近い。実際の模擬侵入にはハッキングツールなどを利用して一部自動化されるが、多くはペンテスターの手作業となる。既知の脆弱性の発見の他、未知および見落としていた脆弱性や問題の発見が可能だ。侵入時のシステムの挙動、保護機能有効性、実際の防御力、具体的な被害範囲などを知る手がかりも得られる。

【次ページ】訓練メールのリアルさにこだわった結果…