脆弱性評価と侵入テストの違い
多くの専門家は脆弱性評価と侵入テストの違いを理解していると主張しますが、実際には両者が混同されがちです。これらの手法は、サイバーセキュリティプログラムにおいて重要な役割を果たしますが、それぞれの違いが明確にされないと、組織のセキュリティ対策に欠陥が生じる可能性があります。
はっきりさせるために、どちらも単独で全組織を評価する完璧な手法ではありません。それぞれ異なる観点と役割を有し、最新のセキュリティ評価とリスク査定において重要な位置を占めています。両者はVAPT評価として組み合わせ、組織全体のセキュリティを担保するための基本的な手法です。これらは、PCI PIN、PCI DSS、HIPAA、SOC2、ISO 27001 などの各種セキュリティ規格に準拠するために必要な対策です。
本記事では、脆弱性評価と侵入テストの違いを明確にし、それぞれの特徴を示します。どのタイミングや領域で各種セキュリティ評価手法が用いられるかを解説する前に、まずは両者の基本的な意味を整理していただきましょう。
脆弱性評価とは? プロセス
短所レビューとも呼ばれる脆弱性評価は、特定の環境や組織に存在するセキュリティ上の弱点を特定する手法です。システムが抱える各種の脆弱性の程度を判断し、最新のセキュリティスキャナなどを用いて、環境内の欠陥やその影響度を評価する包括的な検査となります。
NESSUS、Rapid Nexpose、Web-check、CISCO Secure Scanner、SQL Diet などのツールを使用して、組織やアプリの脆弱性を抽出し、(低・中・高)のリスク評価による概要を示します。評価結果は全体的に確認され、セキュリティ担当部門に報告され、適切な対策を講じることでリスクが低減されます。これにより、組織やシステムのセキュリティ状況が把握されます。
脆弱性評価の手順
- 初期評価
各ツールのリソースを確認し、リスクと主要な対象を特定します。(例:セキュリティ評価用脆弱性スキャナ(利用者の責任を考慮))
- 枠組みの基準定義
次に、脆弱性評価前にシステムに関する情報を収集します。特に、開放すべきでないポート、プロセス、サービスが動作していないかを確認します。
- 脆弱性スキャンの実施
適切な手法を用いてスキャナを運用し、最適な結果を得ます。スキャン開始前に、組織の状況や業務に応じたルールを確認し、実行のタイミングを決定します。
- 脆弱性評価レポートの作成
最も重要な段階はレポートの作成です。細部にわたり焦点を当て、付加価値のある提案を盛り込みます。実用的な内容とするため、評価の目的に沿った提案も加えます。
侵入テストのプロセスとは?
侵入テスト(ペンテストとも呼ばれる)は、システムに対して倫理的なハッキングを行い、セキュリティの欠陥を特定するテスト手法です。実際の攻撃シナリオを模倣し、防御力を評価するとともに、脆弱な部分を抽出します。これにより、攻撃者がシステムに侵入し、攻撃や監視システムを回避できる可能性が明らかになります。
脆弱性評価と同様、侵入テストでも自動化された脆弱性検出ツールやスキャナが活用されますが、手動による検証も併用して、アプリやネットワークシステムの評価が実施されます。
侵入テストの手順
- 準備と情報収集
テストを依頼した組織の担当者と打ち合わせし、テストの目的、対象システム、運用方法を確認します。
- フィルタリング
自動化ツールを用いて対象システムを絞り込み、ペンテスターは静的解析や動的解析により、システムのコード内のバグやセキュリティホールを検出します。
- 侵入の実施
前段階の結果を踏まえ、システムの弱点を選び、そこから侵入を試みます。
- アクセスの維持
ペンテスターは、APTのような手法で権限の昇格を試み、継続的な侵入が可能かどうかを検証します。
- 検証
侵入テスト終了後、検出された脆弱性(誤検知を除く)、システムへの侵入方法、アクセスできた内部システムや機密データ、組織の対応についてまとめた報告書が作成されます。
脆弱性評価と侵入テストの違いのポイント
| 項目 | 脆弱性評価 | 侵入テスト |
|---|---|---|
| 定義 | システムに存在する既知の弱点を特定し、どの部分が脆弱かを判断する手法 | システムの弱点を突き、攻撃者がどの程度侵入し、重要なデータに不正アクセスできるかを評価する手法 |
| 目的 | システム内部の既知の欠陥を特定し、重要資産の保護に向けた手がかりを得る | 潜在的なリスクと脆弱な部分を明らかにし、システムがどの程度危険にさらされているかを評価する |
| 組織と適用範囲 | 組織内部のネットワークやアプリを対象に実施 | 主に外部から組織のネットワークやアプリを評価し、弱点とリスクを特定 |
| 対象範囲 | システム内部のあらゆるセキュリティ欠陥を洗い出し、内部対策の強化に役立てる。定期検査として実施される | 外部から侵入可能な部分を特定し、リスクレベルを評価する |
| 適用性 | 既知のセキュリティ問題を把握したい組織に適しており、システム全体の欠陥を網羅的に確認する | セキュリティ対策が万全とされる組織でも、システムのハッキング可能性や攻撃に対する脆弱性を確認するために用いられる。主に重要なシステムが対象 |
| 手順 | 環境内の資産把握、ネットワークやアプリの脆弱性の特定、リスクの低・中・高への分類、問題箇所の報告、システム改修や設定変更による改善策の実施 | テスト範囲と攻撃手法を定め、実際の攻撃を模倣して脆弱性を特定・評価。報告書作成と改善策の提案、再テストによる確認を実施 |
| アプローチ | 状況に応じ、さまざまなツールが用いられる | 自動ツールと手動検証を組み合わせて実施 |
| 自動化/手動 | ウェブセキュリティスキャナやネットワークセキュリティスキャナなど自動ツールを用いて検出 | 自動ツールと手動検証を組み合わせ、脆弱性の検出および悪用可能性を評価 |
| 評価/テストの結果 | システムに潜む既知の欠陥を特定し、攻撃リスクを明らかにする | 実際に攻撃可能な部分を明らかにし、適切な対策の手がかりを提供 |
| レポート | 検出された脆弱性を詳細にまとめ、誤検知も含む場合がある。強固な防御体制構築のための改善策も提示 | 広範な脆弱性と低・中・高のリスクレベルを総合的に評価し、防御システムの改善策を提案 |
| 評価/テストの性質 | 現状の欠陥を特定するに留まり、攻撃行為は行わない | 実際に倫理的ハッキングを行い、積極的に脆弱性を突く手法 |
| 調査/予防策 | 主に脆弱性の検出と修正を目的とした技術的検査 | 脆弱性の検出に加え、その対処や予防策の実施も含む |
| テストの期間 | 数分から数時間で完了する | 数日から1ヶ月近くかかることもある |
| 実施タイミング | システムやネットワーク、設定に変更があった際に定期的に実施 | 年1回または大きな変更時に実施されることが多い |
| 実施者 | 社内の専門家が適切なツールを用いて実施するか、外部業者に依頼可能 | 熟練した認定ペンテスターなど、専門技術を持つ者が実施 |
| 費用対効果 | 侵入テストに比べコストは低め | 高度な技術を持つ専門家の起用が必要で、確保が難しい場合もある |
脆弱性評価と侵入テストはどのように関連しているか
ここまでで、脆弱性評価と侵入テストの主要な違いについて確認しました。次に、両者の関連性について見ていきます。
一見異なる手法と思われがちですが、どちらもネットワークセキュリティ評価の一環として互いに補完し合っています。結局、両者は相互に関連しています。
侵入テストは、基本的に脆弱性評価に依存しています。まず、システム内の欠陥を徹底的に評価し、問題点を洗い出し、その上で脆弱性を突く形でテストが進められます。
脆弱性評価では、一般的な欠陥を把握するだけに留まり、そのまま放置される場合もありますが、侵入テストではその欠陥が実際にどの程度悪用可能かを確認します。
さらに、侵入テストはより攻撃的な手法で、組織やシステムに直接侵入し、重要なデータへのアクセス可能性を評価します。最終的に、両者を組み合わせることで、ITインフラ全体のセキュリティが担保されます。
侵入テストと脆弱性評価、いわゆるVAPT評価は、組織のコンプライアンス対策にも寄与します。PCI DSS、GDPR、ISO 27001 などの各種セキュリティ規格の遵守を目指す上で、欠かせない手法となっています。
結論 – どちらが優れているか?
脆弱性評価と侵入テストの違いと重要性を理解した上で、どちらが貴社に適しているかを検討することとなります。脆弱性評価は、システムやネットワークの弱点を発見し、それを修正することが目的です。
一方、侵入テストは発見された欠陥を実際に突き、どの程度システムに侵入し重要なデータにアクセスできるかを評価します。システム内の欠陥を洗い出し、防御体制を強化するか、既存のセキュリティシステムの有効性を確認するかに応じ、どちらかの手法が選ばれます。
脆弱性評価と侵入テストは、問題点の特定とその修正を通じ、組織やシステムのセキュリティ向上に寄与します。VAPT評価は、全体のセキュリティ管理と体制の強化を目的としており、貴社のセキュリティ要件、利便性、業務上の重要性に応じた適切な手法の選択が求められます。ただし、侵入テストを実施する場合、脆弱性評価も含まれる点に注意が必要です。
いずれも情報セキュリティおよび組織運営のリスク評価において重要な役割を果たします。VAPT評価は、貴社に最適な主要コントロール、セキュリティシステム、改善策の選定に寄与し、両者の組み合わせにより全体のリスクが低減される仕組みとなっています。適切なテストや評価を実施するためには、各手法の範囲、目的、期待される成果を正確に把握し、専門家と相談の上、最適な対応策を講じることが必要です。
FAQ
参考資料
最新情報を購読
