あなたなら、自社システムをどう攻撃する?:情報マネージャとSEのための「今週の1冊」(92)
いくらセキュリティにコストを掛け、安全性に配慮していたとしても、多種多様な攻撃者からの不正アクセスを完全に防ぎ切れる保証はない。
実践 Metasploit
「企業は重要なインフラを守り、防御の抜け穴を見つけ、深刻なデータ侵害を防ぐために、セキュリティプログラムに数百万ドルを投じている。ぺネトレーションテストはこれらのプログラムにおけるシステムの弱点と欠陥を識別する、最も有効な方法の1つだ」。「ぺネトレーションテスターは、ハッカーが組織のセキュリティを侵害し、組織全体に損害を与えるであろう手法を識別することができる」――。
本書「実践 Metasploit」は、組織のセキュリティに対する認識を無視し、そのシステムの弱点をシビアに発見、証明するペネトレーションテストの方法を詳細に解説した作品である。タイトルにもあるように、情報セキュリティの専門家らの間で広く使われているオープンソースプラットフォーム「Metasploit Framework」をどのように活用すれば、システムの脆弱性を正確に検知できるのか、その「基礎から、エクスプロイトの高度なテクニックに至る全て」までを無理なく理解できるよう構成している点が特徴だ。
具体的には、「ぺネトレーションテストの基本」「Metasploitの基本」から「脆弱性スキャン技術の活用法」「アンチウイルス回避テクニックの基礎概念」「ソーシャルエンジニアリング攻撃でのSocial-Engineer Toolkitの使い方」「独自エクスプロイトの作成」など、順を追って段階的にあらゆる知識、技術を学べる構成としている。
特に本書が一貫して主張するのがペネトレーションテスターの社会的責任の重さだ。 というのも、テスターは、「企業の最も重要なリソースを取り扱う。間違った行動を取れば、現実世界に悲惨な結果をもたらし得る領域にアクセスする」。従って「たった1つのパケットを間違った場所に送り込むだけで工場は休止し、1時間当たりの損失は数百万ドルにもなる。適切な担当者への報告を怠れば、地元警察とバツの悪い、みっともない会話を交わす羽目になる」ためだ。
また、ぺネトレーションテストには、「企業のITまたはセキュリティチームに、企業システムを案内」してもらった上で、ブロックされる心配なしに攻撃を仕掛ける「公開テスト」と、攻撃者の行動を模倣して設計し「企業が知らないうちに実行」する「秘密テスト」という2種類のテストがある。これらを通じて、「組織がまず考えない」脆弱性を発見するものだけに、そのスキルを使えば自らが攻撃者にもなれてしまう。この点で、「悪意を持たない」「自分の行動が招く結果を考慮する」「違法行為を行えば、逮捕、刑務所行きである」として「倫理観」を強調するなど、スキルだけではなく、技術者としてのやりがいと社会的責任の重要性をバランスよく説いている点が特徴だ。
近年は、仮想化、クラウドの浸透などにより、企業のシステムインフラはますます複雑化している。特に問題なのはビジネス上の要件に応じてシステムを増改築していった結果、「陳腐化した過去の技術と、新たに増え続ける多種多様なシステム、ソフトウェア、プロトコルが混在し」、「単なるパッチ管理やファイアウォール、ユーザー教育」だけでは防ぎきれないセキュリティホールがどこに存在するのか、ますます分かりにくくなっていることだ。
この点について、本書では「ずさんなシステム管理とやっつけ仕事の実装が作り出す問題が、組織に大きな脅威を突きつける一方、管理者が実施すべき大量のタスクのもとで、解決方法は放置されたままになっている」と、システム管理者にとってはやや耳の痛い指摘もしている。だが言うまでもなく、いくらセキュリティにコストを掛け、安全性に配慮していたとしても、多種多様な攻撃者からの不正アクセスを完全に防ぎ切れる保証はない。
その点、攻撃者の視点でテストを行うペネトレーションテストについて学ぶことは、セキュリティ上のありがちな弱点や盲点を知ることになり、運用管理や開発の在り方にも有益なヒントをもたらしてくれるのではないだろうか。専門的な内容ではあるが、ユーザー部門の人も含めて、“組織にとっての脅威”を実感する上で有益な一冊と言えるだろう。
- 人はなぜ不正を働くのか?
- なぜIKEAは世界中で支持されるのか
- 今こそ「メディア」を考える
- 部下を信じ、尊敬する
- ご機嫌取りになれ
- “暗い未来”に漫然と向かわないために
- 1つの行動が社会を変革する
- あなたには確固たる「ミッション」があるか?
- 「会社に行きたくない」人ほど会社に依存している
- 失敗の2大パターンは“精神論とお役所仕事”
- コミュニケーションは、ツールではなく人が行うもの
- 社員が疲弊している会社は、経営層とITに問題あり
- ロジカルシンキングで成果が出ない訳
- 手段ばかりを求めていると、結果は出せない
- 「技術へのこだわり」という日本企業の根深い病
- 日本軍とまったく同じ、日本企業の“敗戦理由”
- “技術だけ”では、開発プロジェクトは失敗する
- 断捨離で、業務とシステムはもっと快適になる
- 仕事でモメたくない人のための教科書
- その油断と慢心が“炎上”を招く
- 本当は怖いフェイスブック
- 組織も自分もダメにする「自分大好き」という病
- 災害対策、コスト削減、システム改善は全て同じ問題
- あなたなら、自社システムをどう攻撃する?
- “想定外”から1年、見て見ぬふりはしていませんか?
- ナイトライダーも示唆する人とシステムのあるべき関係
- アップルが成功し、ソニーが失敗した理由
- 貴社のビジネス、ITシステムに“マインド”はあるか?
- 何のために働くのか? その回答はシンプルそのものだ
- 事故を起こす企業の特徴は、「責任者が不明」
- スマホ導入は、セキュリティポリシー設定がキモ
- 失敗は、「簡単なこと」「当たり前のこと」で起こる
- ITがどれほど進展しても、経営の基本は変わらない
- コピペやお絵かきが得意な人は“中毒”の疑いあり
- 情報は、人間関係があって初めて有効に活用できる
- “顧客”や“ユーザー”との関係作りを見直そう
- システム導入・浸透のポイントは“楽しさ”にあり
- “当たり前”を覆すチャンスはまだまだ埋まっている
- ソーシャルメディア・リテラシが収益を左右する
- 技術者はアーティストであり、製造業者ではない
- 分析するのは「ツール」ではなく「人」である
- ブランドは、消耗品である
- 当然のことを当然にこなすための指南書
- リスクを知っていてこそ、スマホは使いこなせる
- 個人でも企業でも、“ナンパ野郎”はウザいだけ
- 「見える化」だけでは、ビジネスは進まない
- 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
- あなたの会社は「突然死」の危機にさらされている
- BCPは、業務部門と情シスが連携して初めて成功する
- 仕事や人生、そして復興にも、秘策はない
Copyright © ITmedia, Inc. All Rights Reserved.