1. ペネトレーションテストの概要
ペネトレーションテストとは何ですか?
ペネトレーションテストは、既存のサイバーセキュリティ対策の耐性を試験して、攻撃者によって悪用される可能性のある脆弱性を検出できるか試みる手法です。 ペネトレーションテストを実施すると、攻撃者のネットワークへの侵入方法について洞察を得られるため、セキュリティギャップを埋めて機先を制することができます。
ペネトレーションテストは社内で実施することもできますが、通常は、ネットワークに侵入するためのさまざまなツールを使用できるサードパーティが行います。 このテストは、攻撃者が実際に使用する攻撃方法に似ています。 目標は、脆弱性、設定ミス、その他のセキュリティの弱点を、攻撃者が悪用して企業をリスクにさらす前に検出することです。
攻撃 (または、ペネトレーションテストによる侵入) が成功した場合、以下の行動が侵入者によって可能であることを表します。
- 保護対象保険情報 (PHI) へのアクセス
- 個人を特定できる情報 (PII) へのアクセス
- 認証情報の窃取
- データと記録の窃取
- マルウェアの起動
- ネットワークのラテラルムーブメント (気付かれるまで数週間から数か月間かかる可能性がある)
- クレジットカード情報などの金融情報へのアクセス
- ビジネス活動の中断
- システムや業務を人質にした身代金の要求
- データの破壊
ペネトレーションテストは、アタックサーフェス内の弱点を明らかにするのに役立ちます。そのため、脅威アクターが弱点を悪用する前に修復を行う計画を立てることができます。
ペネトレーションテストは、脆弱性評価プログラムの補完的な構成要素です。 企業は、脆弱性評価の一環として定期的な脆弱性スキャンを実施して、企業全体のすべての資産と脆弱性について詳細情報を取得する必要があります。 ペネトレーションテストを実施すれば、スキャンで検出された脆弱性の悪用の可能性を検証して修正の取り組みの成果が評価できます。
包括的な脆弱性評価プログラムを構築するには、脆弱性評価スキャンを継続的に実行し、ペネトレーションテストを定期的に実行してください。一部のコンプライアンスガイダンスでは、ペネトレーションテストを毎年実施することが求められています。しかし、さらに頻度を上げる (少なくとも四半期ごとなど) ことで、より強固なサイバーセキュリティプログラムを構築できます。
ペネトレーションテストの重要性
企業にとって、包括的なサイバーセキュリティプログラムの一環としてペネトレーションテストを導入することが推奨される理由をいくつか紹介します。
- ペネストレーションテストは、攻撃者がネットワーク、データ、資産にアクセスするために悪用する可能性のある脆弱性やその他のセキュリティ上の弱点があるかどうかを発見するのに役立ちます。
- これらのテストにより、コンプライアンス基準をどの程度満たしているか、またセキュリティ上の問題がどこにあるのかを把握できます。
- また、ペネトレーションテストは、セキュリティコントロールが正常に機能しているかどうかを判断する上でも役立つ
- 企業が使用しているアプリケーションをテストして、攻撃者がネットワークにアクセスできる可能性のあるプログラミングミスがあるかどうかを確認できる