プロに聞く「ペネトレーションテストはいつすべき？」 “わざと自社にサイバー攻撃”訓練に求められる覚悟（3/3 ページ）

「うちもやったほうがいいのかな」というあいまいな理由だけでペネトレーションテストを実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。

[高橋睦美，ITmedia]

「何をしたいか」「何ができるか」を基に互いに選ぶ姿勢で選定を

　Webアプリケーション脆弱性診断のようにツールが充実している分野を除けば、診断サービスは外部に依頼して実施することが多い。だとしても、受ける側にも、全体像を理解しているセキュリティエンジニアが必要だとルスラン氏は述べた。

　「まだ多くの会社では、報告書をきちんと読んで優先順位を付け、他に同様な脆弱性がないかを確認していける人材がいません。今後解決が必要な部分だと思います」

　さらに、「何を対象にするか」「どんなリスクを確認するのか」、そして「どんな攻撃を想定して診断を実施できるのか」といった要件に基づいて診断ベンダーを選ぶべきだとした。

　例えば、ドメイン管理者の権限を一時的に払い出してもらった上で設定を監査的にチェックしていくものもあれば、顧客の環境に実際に足を運んで診断する方法、さらには本物の攻撃さながらにリンク付きのメールを送り込むところから始める方法に至るまで、攻撃の始点や攻撃者のモデル、シナリオは色々と考えられる。また、EDRなどのセキュリティソリューションが導入されていることを前提にするのかどうかによってもテスト内容は変わってくる。どのステージでどこまでの診断ができるのかが、ベンダーを見極める一つのポイントになる。

　診断の回数を重ねていけば徐々に指摘事項も減っていくが、「毎回何も出ない」となることはあり得ない。そうした場合には、異なるベンダーに依頼し、それまでとは異なる目線や考え方に基づいて診断をしてもらうのも一つの手だとした。

　物理侵入まで何でもありのテストを実施したSansanなど、アグレッシブに演習を行うケースを耳にして、「自分たちも何か診断をやってみよう」と考えるのはいい考えだ。だが、物理的な侵入経路以外のところがボロボロのまま、同じシナリオを試してみても「やられましたね、ダメですね」だけで終わってしまう。それではもったいない。

　「どれくらい新しい攻撃・侵入手法を考えるか、法律を守りながらどこまでバランスをとりつつ演習するかは、診断会社によって異なります。どのような診断をやりたいか、我々はどこまで覚悟ができているかを踏まえつつ、その診断会社はどこまで何ができるかを把握し、選ぶべきでしょう」

　いずれにせよ、自社内がどうなっているを整理した上で診断を受け、現状を把握したらそれに基づいて設計を改善したり、ソリューションを導入したりして、「これである程度大丈夫だろう」と思えるようになったら、改めて計画通りに検知や対応ができるかをレッドチーム診断で試してみるといった具合に、段階的に進めていくことが望ましいだろう。その後も、変化する脅威や環境に合わせて、ゴール、あるいは手段を変えながら、常に自社を適切に疑いながら試し続ける視線が必要になるはずだ。