技術アプリケーションを構築する際、ウェブアプリやモバイルアプリなどの製品のセキュリティを強化するために欠かせないステップの1つが、侵入テスト(ペネトレーションテスト)です。では、ペンテストとは具体的に何か、企業における情報セキュリティに対するこのモジュールの役割はどのようなものか、以下の記事で探ってみます。
ペンテストとは?
ペンテストは「ペネトレーションテスト」の略で、システムの安全性を評価する手段として、実際の攻撃をシミュレーションした攻撃によって実施されます。シンプルに言えば、ペンテストはシステムに侵入し、ハッカーが悪用する可能性のある潜在的な弱点を発見しようとします。
ペンテストの目的は、組織ができるだけ多くの脆弱性を特定し、それを修正することで、将来的な攻撃の可能性を排除することです。侵入テストを行う人は「ペンテスター」と呼ばれます。
ペンテストは、コンピュータシステム、ウェブアプリ、モバイルアプリ、ネットワークインフラ、IoT、クラウドサービス、SaaSソフトウェアサービス、API、ソースコード、またはインターネットに接続され攻撃される可能性のあるIT対象に対して行われますが、最も一般的なのはウェブアプリとモバイルアプリのペンテストです。これらの要素は「ペンテスト対象」と呼ばれます。
侵入を実施する際、ペンテスターはそのシステムまたはソフトウェアの所有者からの許可を得る必要があります。許可がない場合、その行為は違法なハッキングと見なされます。実際、ペンテストとハッキングの境界は対象の所有者の許可によって決まります。したがって、ペンテストの概念は「倫理的ハッキング(エシカルハッキング)」に似た意味を持ち、ペンテスターは「ホワイトハットハッカー」とも呼ばれます。
ペンテストを理解するためには、セキュリティにおける「脆弱性」、「エクスプロイト」、「ペイロード」という3つの基本概念を理解する必要があります。
- 脆弱性(vulnerabilities):これは、ソフトウェア、ハードウェア、オペレーティングシステム、またはウェブアプリケーションのセキュリティ上の弱点であり、攻撃者がシステムを攻撃するための足がかりを提供します。脆弱性は、弱いパスワードのような単純なものから、SQLインジェクションやバッファオーバーフローのような複雑なものまであります。
- エクスプロイト(exploits):これは、脆弱性、エラー、バグを悪用して、コンピュータシステム上で異常な動作を引き起こすための行動です。この行動には、権限昇格、機密情報の盗難、サービス拒否攻撃などが含まれます。
- ペイロード(payloads):これは脆弱性を持つシステムの一部であり、攻撃のターゲットです。
ペンテストの形式
ホワイトボックステスト:ホワイトボックスペンテストでは、テスト担当者に対して対象に関する詳細情報(IPアドレス、ネットワークインフラの図、使用されるプロトコル、ソースコードなど)が提供されます。
グレーボックステスト:グレーボックスペンテストは、テスト担当者が対象に関する制限された情報(URL、IPアドレスなど)を持つ形式です。対象の十分な情報やアクセス権限を持てない。
ブラックボックステスト:ブラックボックスペンテスト、または「ブラインドテスト」とも呼ばれるこの形式のペンテストは、現実世界のハッカーの視点から行われます。この形式では、テストを実施する専門家は、攻撃対象について事前に一切の情報を受け取らず、対象に関する情報を自ら調査・収集し、その後テストを行います。このタイプのペンテストは、多くの時間と攻撃への努力が必要なため、コストが高くなります。
他にも、ダブルブラインドテスト、外部テスト、内部テスト、ターゲットテストなどのペンテスト形式がありますが、これらはベトナムではあまり普及しておらず、特定の企業のニーズに応じてのみ使用されます。
ペネトレーションテストの歴史
1960年代半ば、コンピュータネットワークを介したデータ通信の能力が向上したことで、専門家たちは、政府や企業のネットワークへの侵入攻撃が発生し、交換されるデータにアクセスされる可能性について警告を発しました。1967年に開催された年次コンピュータ会議(AFIPS)には、15,000人以上のコンピュータセキュリティの専門家が集まり、そこで「ペネトレーション(侵入)」という用語が議論され、定義されました。
1967年の終わりに、RAND Corporationは米国の国防高等研究計画局(DARPA)と協力して、ウィリスレポート(プロジェクトリーダーの名前に由来)と呼ばれる専門的な報告書を作成しました。この報告書では、インターネットのセキュリティ問題について議論し、政策を提案しました。この報告書は、今日のセキュリティ対策の基礎を築いたものでした。この報告に基づいて、米国政府は企業と協力して「コンピュータネットワークシステムの脆弱性を発見し、侵入や不正利用からシステムを保護する」ことを目的としたグループを設立しました。
世界で最初のペンテストチームは「タイガーチーム」と呼ばれ、1960年代後半に設立され、コンピュータネットワークに攻撃を仕掛け、その防御力を評価する役割を担いました。その結果は、リーダーたちを驚かせるものでした。
なぜペンテストが必要なのか?
今日、テクノロジーの発展により、侵入テストは多くの企業の情報セキュリティシステムに欠かせないモジュールとなっています。
ペネトレーションテスト(侵入テスト)は、ウェブ、モバイルアプリ、ネットワーク、IoTなどをハッカーの攻撃から守るための効果的なセキュリティソリューションです。現実の攻撃をシミュレートすることにより、テストエンジニアはシステムのセキュリティ上の弱点を発見し、それによって企業がハッカーに利用される前に脆弱性を修正することで、金銭的損失や評判の損失を防ぐことができます。
市場調査会社Market Watchによると、ペンテスト市場は2018年に9億2000万ドルであり、2025年には24億2000万ドルに達すると予測され、2019年から2025年までの間に年平均成長率(CAGR)は14.9%に達する見込みです。サイバー犯罪者からのシステム耐性テストの需要は非常に高く、この成長の理由は4つの要素にあります。
ペンテストが現代企業に不可欠な4つの理由
ウェブアプリ、モバイルアプリの開発の増加
まず、デジタル経済のビジネスモデルは、企業がウェブサイトやモバイルアプリを使用して顧客とつながり、対話し、サービスを提供することを求めています。これは一部の組織にとって利点であると同時に、必要条件でもあります。なぜなら、消費者の行動は変化しており、彼らはオンラインでの利便性を好んでいるからです。したがって、オフライン販売のリスク(在庫、店舗コスト)を回避する一方で、企業はウェブサイトのハッキング、モバイルアプリのハッキング、顧客情報や重要なデータの盗難、業務の中断、ウイルスやマルウェアの感染など、サイバーリスクも背負うことになります。
デジタルトランスフォーメーションのトレンド
次に、現代企業は「デジタル化」や「デジタルトランスフォーメーション」のトレンドに追いつく必要があります。新しい技術を業務に取り入れることで、人件費や運用コストを削減できる一方で、ハッカーによる攻撃対象が増加します。ERPシステム、CRMシステム、IoTデバイスなどがその典型です。これらのデジタル製品が適切に保護されていない場合、サイバー犯罪者のターゲットとなる可能性があります。
SaaSソフトウェア
次に、第三に、オンプレミス ソフトウェアと比較して、有料の「as-a-service」ソフトウェアを使用する傾向が増加しています。これはユーザーに利便性を提供する一方で、サービス提供者にとってはセキュリティリスクが増大します。SaaS、IaaS、PaaS、FaaSのようなサービスモデルは常にインターネット接続を必要とするため、サービスの中断や攻撃のリスクが高まり、ユーザーエクスペリエンスに影響を与える可能性があります。
人間の創造性を持つ攻撃者
最後に、シミュレーション攻撃によるセキュリティ強化は、どんなに高度な防御システムでも提供できない利点を企業にもたらします。ペンテスターは、現実のハッカーと同じように「人間らしい」クリエイティブな方法で攻撃を行います。
ペンテストの利点
定期的かつ適切にペンテストを実施することで、企業は重要なセキュリティ目標を達成できます。
- ウェブアプリ、モバイルアプリ、ネットワーク、IoT、API、クラウドシステム、SaaS、ハードウェアなどのセキュリティを強化し、ハッカーによる不正侵入を最小限に抑える。
- リーダーは、組織のアプリケーションと技術製品のセキュリティ全体像を把握できる。
- 実際の攻撃が引き起こす可能性のある損害を予測できる。
- 企業のデータベースや重要な情報、ユーザー情報を保護する。
- システムが安定して稼働し、攻撃による中断のリスクを最小限に抑えることができる。
- 自動防御ツールでは見つけにくい危険な脆弱性を特定できる。
- 各業界のセキュリティ基準(PCI DSS、HIPAA、ISO 27001など)を満たすことができる。
- 顧客、パートナー、投資家に信頼感を与える。
ハノイ市、カウ・ジャイ区、ディック・ボング・ハウ町、82ズイ・タン、3Aビル3 & 5階 
