セキュリティ  侵入テスト

コスト面

侵入テストのコストは、一般に、テストの実行に要する時間と、テスト担当者のスキル レベルによって決まります (新人弁護士よりも主席弁護士の方か費用が高くつくのと同じことが、侵入テスト担当者にも当てはまります)。では、テストにはどのくらいの時間を要し、その実施を誰に依頼すべきでしょうか。

リターンの減少 :

ほとんどの人は、経済学者達の " 収穫逓減の法則" という言葉を、つまり作業を増やしていったとき、ある時点からはいくら増やしてもその投資の増加に見合う価値の増加が得られなくなるという法則をご存じのことでしょう。私たちが日常的に使う言葉では、同じような原理に基づいたことを 80 / 20 の概念といいます。

この概念は、侵入テストにも当てはまります。侵入テスト担当者が十分なスキルを持っている場合、テストに確保された時間と達成されるセキュリティ レベルの向上の間には直接の相関関係があります。しかし、侵入テストが進むにつれセキュリティの向上率が低下し、そのうち侵入テストを続けてもテストが効果的でなくなるポイントがやってくるのです。

目標は、未解決のリスクが許容可能なものであると見なせるレベルになるまで (つまり、攻撃のリスクはまだ存在しているものの、攻撃の可能性と結果がビジネスにとって許容範囲内であると評価される状態に至るまで) テストすることです。

許容可能なリスク ポイントの識別

ここまでのセクションでは、侵入テストによる真のセキュリティ向上を確保する際に当てはまる主な原理について説明してきました。以下にまとめます。

• 侵入テストは、会社にとって最も大きなリスクを示す資産をターゲットとし、リスクに焦点を当てたものである。
• 侵入テストは、攻撃者が攻撃してくる際に実際に使用するのと同じ方法で実施される。
• 侵入テストは、少なくとも今後攻撃してくるハッカーと同程度のスキルを有している悪意のないハッカーによって実行される。

これらの原則を自分の会社に当てはめれば、侵入テストの範囲 (IT インフラストラクチャのどの部分をテストし、どの種類のテストを実行するかということ) を迅速に決定し、さらに許容可能なリスク ポイントも明確にすることができるでしょう。見積もりは、この点についてテストを行う十分な資格を持ったテスト担当者から得られます。

" 許容可能なリスク ポイント" までテストするためのコストが、予算を超えてしまうケースもあります。その場合、それに従って、リスクのレベルが上がってしまっても制御を保ち、どのような賭けに出るかを決定できるように、明確な優先順位付けを持って侵入テストの範囲を縮小しなければなりません。