脆弱性スキャン vs. ペネトレーションテスト

avatar

 2018.11.27  Japanブログ編集部

脆弱性スキャンの重要性とペネトレーションテストの重要性を混同している人があまりに多いことに私は驚いています。脆弱性スキャンをペネトレーションテストで代用することはできません。また、ペネトレーションテストだけでネットワーク全体の安全性を確保することもできません。

どちらも、それぞれのレベルで重要であり、サイバーリスクの分析に必要です。また、PCIHIPAAISO 27001などの基準で必要とされています。

ペネトレーションテストでは、システムアーキテクチャー内の脆弱な箇所を利用して侵入を試みます。一方、脆弱性スキャン(または脆弱性アセスメント)は既知の脆弱性の存在をチェックし、リスクに関するレポートを生成します。ペネトレーションテストと脆弱性スキャンの両方は、主に次の3つの要素を拠り所にしています。

  1. 範囲

  2. 資産のリスクおよび深刻度

  3. コストと時間

ペネトレーションテストとは?

ペネトレーションテストは、範囲を絞って行われます。また常に人の手が介入します。自動化されたペネトレーションテストというものは存在しません。このテストではツールを使用する必要があり、時には数多くのツールが使われます。また、非常に多くの経験を積んだ人物がテストを行います。

できるペネトレーションテストの担当者は、巧妙なスクリプトを作り上げ、攻撃のパラメータを変更し、テストで使用するツールの設定を微調整します。

ペネトレーションテストは、アプリケーションレベルやネットワークレベルで行えます。あるいは、特定の機能や部署、資産のグループに対しても実行できます。インフラストラクチャー全体や、すべてのアプリケーションを対象にすることもできますが、それに要するコストと時間を考えると、あまり現実的とは言えません。

テストの範囲は、いくつもの要素を組み込んで定義します。通常はリスクと資産の重要度を基準にします。リスクが低いのにもかかわらず、侵入に数日もかかるような資産に大金を費やしてテストするのは現実的ではありません。結局のところ、テストには高いスキルと知識が要求されます。そのためにコストがかかるのです。

さらに、テストの実行者が新しい脆弱性を突破したり、通常のビジネスプロセスでは知り得ることのできないセキュリティ上の欠陥を数日あるいは数週間かけて発見することもよくあります。ペネトレーションテストには費用がかかることと、障害を発生させてしまう可能性が低くはないことから、一般的にテストは年に1度の頻度で行われます。通常は、簡潔で要領を得た内容のレポートが返されます。

脆弱性スキャンとは?

一方、脆弱性スキャンは、アプリケーションやファイアウォール、ルータ、スイッチ、サーバーなどのネットワークデバイス内の潜在的な脆弱性を特定することを目的としています。脆弱性スキャンは自動化され、ネットワークレベルあるいはアプリケーションレベルで潜在的あるいは既知の脆弱性を検出することに焦点を当てています。脆弱性を突破することを目的としてはいません。脆弱性スキャナーは、既知の脆弱性を特定する機能のみを持つため、ゼロデイエクスプロイトの検出には向いていません。

脆弱性スキャンは、企業全体を範囲としており、多数の資産を管理するためには自動化されたツールが必要です。また、ペネトレーションテストより広い範囲をカバーします。脆弱性スキャナーを効果的に使用するには、製品に特化した知識が必要です。通常は、確かなネットワーキングの知識を持つIT管理者やセキュリティ部門のスタッフが実施します。

脆弱性スキャナーは、任意の数の資産上で実行して、既知の脆弱性の存在を確認します。このスキャン結果は、御社の重要なリソースに影響を与えるさらに深刻な脆弱性を排除するために、脆弱性管理ライフサイクル内ですぐに利用できます。

予防的意味合いを持つペネトレーションテストとは反対に、脆弱性スキャンは「発見的コントロール」に区分されます。また、ペネトレーションテストと比較して、コストは低めです。

Center for Internet Security(CIS)の見解

Center for Internet Security(CIS)は、脆弱性スキャンとペネトレーションテストとの主な違いを調べる際の有用な情報源となります。CISは実用的かつ優先順位付けされた20の基本的なセキュリティコントロールのリストを公開しています。これは、サイバーセキュリティのベストプラクティスに関する権威あるガイドとして広く受け入れられています。

コントロールNo.3の継続的な脆弱性管理では、「脆弱性を特定して修復し、攻撃のチャンスを最小化するために、新しい情報を継続的に取得して評価し、行動に移す」ようにセキュリティの担当者に訴えています。優先順位付けされているCISコントロールの中で、このコントロールNo.3は、上位6つの「基本のコントロール」の1つとして位置付けられており、あらゆるセキュリティプログラムの基礎となる必須のコントールであることが示されています。

コントロールリストの20番目は、「ペネトレーションテストおよびレッドチームの訓練:攻撃者の目的と行動をシミュレートし、組織の防衛力の全体的な強さ(テクノロジー、プロセス、および人材)をテストする」です。トップ20のベストプラクティスに含まれるほど大事なコントロールではありますが、それより前の19個のコントロールよりは重要度が低くなります。

脆弱性スキャンとペネトレーションテストの両方を、サイバーリスク分析プロセスに組み入れて、企業、部署あるいは職務に最適なコントロールを決定する際に役立てることができます。リスクの低減のためには、これらを連携させて最大限に活用しなければなりません。それぞれが重要であり、その目的と結果が異なるため、その違いを理解することが非常に重要です。

トリップワイヤが脆弱性スキャンをどのように支援できるかを知るには、こちらをクリックしてください。

TRIPWIRE IP360 データシート

RECOMMEND関連記事


RECENT POST「脆弱性管理」の最新記事


この記事が気に入ったらいいねしよう!