Home / 記事 / 情報セキュリティ / ネットワークセキュリティ / 侵入テストの解説 - 侵入テストの分類(3/4)

e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。

ITセキュリティシリーズ(侵入テスト)

侵入テストの解説 - 侵入テストの分類(3/4)

Santosh Satam

2008年05月27日

すべての記事を印刷

Santosh Satam
Santosh Satam

侵入テストとは、脆弱性を見つけ出すことを目的に、コンピュータ システムやネットワークへの “外部” からの侵入を管理された形で試みるテストです。侵入テストでは、本物の攻撃で使用されるのと同じ、またはよく似たテクニックが使用されます。この記事は、 侵入テストの効率と集中したパフォーマンスを確保し促進するための構造化された侵入テスト アプローチについて説明します。また、この記事は、侵入テストの実行を計画する公的または私的な団体における選択基準を意思決定者に提供するようにも設計 してあります。

侵入テストの分類

下の図は、実行できる侵入テストを分類したものです。左側には侵入テストを定義する 6 つの基準を示してあり、右側にはその基準でのさまざまな価値がコンパクトなツリー形式で示してあります。

計画されたリスクを持つ効率的で効果的なテストを確保するには、テストされるシステムの範囲、テストの注意深さや攻撃性といった、実際に行う侵入テストの特性を決める特徴的な要素が、テストの目的に適したものになっていなければなりません。

上記の基準を基にして、クライアントの目標を満たすための適切な侵入テストが決定されなければなりません。

以下は、6 つの基準とその取りうる値についての説明です。

1. 情報ベース (Information Base)

対象ネットワークまたは対象物に対する侵入テスト担当者の初期の知識レベルはどの程度か。

内部情報を全く持たずに行うブラック ボックス テストと、テスト担当者が内部情報を得て行うホワイト ボックス テストは、根本的に区別されます。

  1. ブラック ボックス テストでは、一般的なインターネット ハッカーによる攻撃が現実的にシミュレートされます。ハッカーは、公表されているデータベースを利用したり、部外者としての問い合わせを行ったりして、必要な情報を調査しなければなりません。
  2. ホワイト ボックス テストでは、特定の分野に関する詳細情報を持っている社員 (または元社員) や外部のサービス プロバイダによる攻撃がシミュレートされます。ホワイト ボックス テストでハッカーが持っている情報は、限られた、たとえば会社に短期間しか勤めていない社員でも持ち得るような情報から、セキュリティ関連システムをインストールした外部 IT サービス プロバイダが入手できるようなシステムに関する深い知識まで、範囲もさまざまです。

2. 攻撃性 (Aggressiveness)

侵入テスト担当者がテスト中にどの程度攻撃的になるか。

十分細かく区別できるように、攻撃性には、この調査の目的のために次の 4 つのレベルが定義されています。

  1. 最も低いレベルでは、テスト対象が受け身的に調査されるだけです。つまり、検出されたどの脆弱性にも実際に悪用の試みがなされません。
  2. 2 番目のレベル (cautious) では、たとえば既知の既定パスワードを使用するとか、Web サーバー上のディレクトリへのアクセスを試みるなど、実行してもテストされるシステムに被害が発生しない場合にのみ、判明した脆弱性が、テスト担当者の持つ知識の範囲内で悪用テストされます。
  3. その次のレベル (calculated) では、テスト担当者は、システムの中断につながる可能性のあるような脆弱性の悪用も試みます。これには、厳密に決められた対象システムでの、たとえばパスワードの自動試行、既知のバッファ オーバーフローの悪用などが含まれます。テスト担当者は、この手順を取る前には、その悪用がどの程度成功しそうかということと、その結果はどの程度深刻になるかということを検討します。
  4. 最も高いレベル (aggressive) では、テスト担当者は、潜在的なすべての脆弱性の悪用を試みます。たとえば、明確に識別されていない対象システムでもバッファ オーバーフローを使用したり、意図的な過負荷攻撃 (サービス不能攻撃 (DoS)) によってセキュリティ システムを無効化したりします。テスト担当者は、これらのテストの結果、テスト対象となっているシステムだけでなく近隣のシステムやネットワーク コンポーネントにまで障害が及ぶ可能性があることを認識していなければなりません。

3. 範囲 (Scope)

どのシステムをテストするか。

侵入テストを初めて実行しようとしているときには、今までテストされていないシステム内のセキュリティ ループホールを 1 つも見落とすことのないように、完全なテストを行うことをお勧めします。

侵入テストに要する時間は、通常は、調査対象となるシステムの範囲に直接的に関連します。まったく同一であるかまたはほぼ同一のシステムは、多くの場合、単一のテストで調査できますが、構成が少しでも違う場合には、各システムを個別に扱う必要があります。

  1. 特定のサブネットワーク、システム、またはサービスのみがテスト対象となる場合、この調査の目的では、侵入テストは「集中型 (focused)」とされます。このテスト範囲は、たとえばシステムの全体的な構成に変更を加えた直後やシステムを拡張した直後に適しています。このようなテストで得られるのは、もちろん、テストされたシステムに関する情報だけです。このテストで、IT セキュリティに関する全般的な情報を得ることはできません。
  2. 制限付き (limited) 侵入テストでは、限られた数のシステムまたはサービスのみがチェックされます。たとえば、DMZ 内のすべてのシステム、または 1 つの機能単位を構成するシステムをテストできます。
  3. 完全テスト (full) では、利用可能なすべてのシステムを網羅します。ただし、たとえ完全テストにおいてでも、たとえば外部委託しているシステムや、外部からホストされているシステムなど、特定のシステムがテストできない場合もあります。

4. アプローチ (Approach)

テスト中にチームがどの程度 目に見える か。

メインのセキュリティ システムに加えて、IDS、会社構造または職員構造 (エスカレーション手順等) などの二次システムをテストする場合は、それにテスト アプローチを適応させなければなりません。

  1. 二次セキュリティ システムおよび既存のエスカレーション手順に対して実行する侵入テストは、少なくとも初期段階では、秘匿的である必要があります。つまり、初期の調査段階で、直接にはシステムへの攻撃の試みとして識別されない手法のみ採用すべきです。
  2. 秘匿的アプローチで反応を得るのに失敗した場合や、システムの責任者との共同作業でホワイト ボックス テストを実行する場合は、直接接続での広範なポート スキャンなど、顕在的方法を採用するという方法があります。顕在的ホワイト ボックス テストの実施では、クライアントの担当者をチームに含めることができます。こうすると、予期せぬ問題が発生したときにテスト担当者がより迅速に対応できるようになるため、高度にクリティカルなシステムではこれは特にお勧めです。

5. テクニック (Technique)

テストにどのテクニックを使用するか。

従来の侵入テストでは、システムへの攻撃はネットワークを介してのみ行われていました。これに加えて、その他のタイプの物理的な攻撃やソーシャル エンジニアリングもシステムの攻撃に使用できます。

  1. ネットワーク ベース (network-based) の侵入テストは、通常行う手続きであり、典型的なハッカーの攻撃をシミュレートします。現在の IT ネットワークのほとんどが TCP/IP プロトコルを使用しているため、このテストは IP ベースの侵入テストとも呼ばれます。
  2. TCP/IP ネットワークとは別に、やはり攻撃の実行に使用できるその他の通信ネットワークもあります。これには、電話や FAX のネットワーク、モバイル通信のための、たとえば IEEE 802.11(b) ベースや、将来の Bluetooth テクノロジ ベースのワイヤレス ネットワークなどがあります。
  3. 最近では、ファイアウォールなどのセキュリティ システムが広く普及しており、このようなシステムの構成は、通常、高いレベルのセキュリティを提供しています。このため、このようなシステムを攻撃で打ち破ることは、不可能ではないにしても、非常に困難です。多くの場合、直接物理的な攻撃を行うことにより、このようなシステムを迂回して欲しいデータを手に入れる方が簡単かつ時間もかかりません。物理的な攻撃には、たとえば、建物やサーバー ルームに不法侵入して、パスワードで保護されていないワークステーションに置かれているデータに直接アクセスするなどの方法があります。
  4. セキュリティ チェーンの中では、人が最も弱いリンクとなることが多々あります。このため、不十分なセキュリティ スキルや不十分なセキュリティ認識を悪用するソーシャル エンジニアリングのテクニックが成功する事例が多数あるのです。このようなテストは、一般的なセキュリティ ポリシーを導入した後に、たとえば実装や受け入れの範囲を評価する目的で行う場合に妥当です。セキュリティ ポリシーについて想定される有効性の前提が間違っているとセキュリティ リスクにつながりますが、そのセキュリティ リスクは、その状況が正しく評価されたとしたら、多くの場合、追加の措置を取ることによって緩和できます。
  5. 開始点 (Starting Point) : 侵入テストの実行をどこから始めるか。
  6. 侵入テストの開始点、つまり侵入テスト担当者が自分のコンピュータをネットワークに接続するポイント、あるいは侵入テスト担当者が攻撃の試みを開始させる場所は、クライアントのネットワークや建物の内側にすることも外側にすることもできます。
  7. ハッカーによる攻撃のほとんどは、インターネットへのネットワーク接続を介して行われます。このため、外部からの侵入テストでは、そのような攻撃による潜在的なリスクを検出および評価できます。このようなテストでは、一般に、ファイアウォール、DMZ 内のシステム、および RAS 接続が調査されます。
  8. 内部からの侵入テストでは、テスト担当者は、通常、内部ネットワークにアクセスするために、ファイアウォールもエントリー制御も乗り越える必要がありません。このため、内部からのテストでは、ファイアウォール構成のエラーや、ファイアウォールに対して成功した攻撃、内部ネットワークへのアクセス権を持つ人物による攻撃などによる影響を評価できます。

コメント

コメントするにはログイン、もしくはユーザ登録を行ってください。

LET US C (上)

発売中

LET US C(上)
インド人ITエンジニアのCプログラミングのバイブル。通算100万冊以上売れています。
― 2,520円 ―

Y. Kanetkar

Intro to OOP & C++

発売中

Introduction to Object Oriented Programming & C++
C++を例に、多彩なサンプルコードと簡潔な説明でOOPプログラミングの実際が理解できる。
2,940

Y. Kanetkar

Microsoft .NET Web アプリケーションセキュリティ

発売中

Microsoft .NET Web Application Security
APプログラムの作り方で不正侵入の防御率を向上させる手法を解説。今までにないセキュリティーの手法を紹介します。
3,990円

Vijay Mukhi

Quest C++

2008年の11月発売予定

Quest C++ ビジュアルラーニングコース
これがあれば、見て聞くだけで楽しみながらプログラミングテクニックが身につきます。
― 9,975円 ―

Y. Kanetkar Asang Dani

Webアタック防止手法 Webアプリケーションセキュリティ

2008年の11月発売予定

Programmer's Guide to Web Application Security
Web System への侵入方法と原理を解説する事により、防止方法を理解することが出来る。
3,990

Vijay Mukhi

フォーラムの最新ポスト