侵入テストの方法論と標準 – IBM ブログ

オンライン空間は急速に成長し続けており、コンピューター システム、ネットワーク、または Web アプリケーション内でサイバー攻撃が発生する機会が増えています。このようなリスクを軽減し、それに備えるために、攻撃者が使用する可能性のあるセキュリティの脆弱性を発見する侵入テストは必要な手順です。

侵入テストとは何ですか?

A 侵入テスト、または「侵入テスト」は、実際のサイバー攻撃を模擬するために実行されるセキュリティ テストです。あ サイバー攻撃 フィッシング行為やネットワーク セキュリティ システムの侵害が含まれる場合があります。必要なセキュリティ制御に応じて、組織で利用できるさまざまな種類の侵入テストがあります。テストは手動で実行することも、特定の一連のアクションまたはペネトレーション テスト方法論を通して自動ツールを使用して実行することもできます。

なぜ侵入テストを行うのか、誰が関与するのか?

用語「倫理的なハッキング」と「侵入テスト」は同じ意味で使用されることがありますが、違いがあります。倫理的ハッキングはより広範囲にわたる サイバーセキュリティー これには、ネットワーク セキュリティを向上させるためのハッキング スキルの使用が含まれます。ペネトレーション テストは、倫理的ハッカーが使用する手法の 1 つにすぎません。倫理的ハッカーは、害を及ぼすのではなくセキュリティの弱点を発見して修正するために、マルウェア分析、リスク評価、その他のハッキング ツールやテクニックを提供する場合もあります。

IBMの データ侵害レポートのコスト 2023 年のデータ侵害による世界平均コストは 2023 万ドルで、4.45 年間で 15% 増加しました。これらの侵害を軽減する 3 つの方法は、正確かつ的確な侵入テストを実行することです。

企業は侵入テスターを雇って、アプリ、ネットワーク、その他の資産に対して模擬攻撃を開始します。ペネトレーションテスターは、偽の攻撃を仕掛けることで、 セキュリティチーム 重大なセキュリティ脆弱性を発見し、全体的なセキュリティ体制を改善します。これらの攻撃は、多くの場合、レッド チーム、つまり攻撃的なセキュリティ チームによって実行されます。の 赤チーム セキュリティ リスクを評価する方法として、組織自体のシステムに対する実際の攻撃者の戦術、技術、手順 (TTP) をシミュレートします。

ペネトレーション テスト プロセスを開始する際には、いくつかのペネトレーション テスト方法論を考慮する必要があります。組織の選択は、対象となる組織のカテゴリ、侵入テストの目標、セキュリティ テストの範囲によって異なります。すべてに当てはまる万能のアプローチはありません。ペネトレーション テスト プロセスの前に公正な脆弱性分析を行うには、組織がセキュリティ問題とセキュリティ ポリシーを理解する必要があります。

X-Force の侵入テストのデモを見る

上位 5 つの侵入テスト手法

侵入テスト プロセスの最初のステップの 1 つは、どの方法に従うかを決定することです。

以下では、利害関係者や組織を特定のニーズに最適な方法に導き、必要なすべての領域を確実にカバーできるようにするために、最も人気のある 5 つの侵入テスト フレームワークとペネトレーション テスト方法論について詳しく説明します。

1. オープンソースのセキュリティテスト方法マニュアル

オープンソース セキュリティ テスト方法マニュアル (OSSTMM) は、侵入テストの最も一般的な標準の 1 つです。この方法論はセキュリティ テストに関してピアレビューされており、Institute for Security and Open Methodology (ISECOM) によって作成されました。

この方法は、テスター向けのアクセスしやすく適応可能なガイドを備えたペネトレーション テストへの科学的アプローチに基づいています。 OSSTMM には、その方法論における運用上の焦点、チャネル テスト、メトリクス、信頼分析などの主要な機能が含まれています。

OSSTMM は、ペネトレーション テストの専門家向けに、ネットワーク侵入テストと脆弱性評価のフレームワークを提供します。これは、プロバイダーが機密データや認証に関する問題などの脆弱性を発見して解決するためのフレームワークとなることを目的としています。

2. Web アプリケーション セキュリティ プロジェクトを開く

OWASP は Open Web Application Security Project の略で、Web アプリケーション セキュリティに特化したオープンソース組織です。

この非営利団体の目標は、そのすべての資料を無料にして、Web アプリケーションのセキュリティを向上させたい人が簡単にアクセスできるようにすることです。 OWASP には独自の トップ10 (リンクは外部にあります) IBM.com)、これは、クロスサイト スクリプティング、認証の失敗、ファイアウォールの背後への侵入など、Web アプリケーションに対する最大のセキュリティ上の懸念事項とリスクを概説する、よく整備されたレポートです。 OWASP は、OWASP テスト ガイドの基礎として上位 10 リストを使用します。 

このガイドは、Web アプリケーション開発用の OWASP テスト フレームワーク、Web アプリケーションのテスト方法およびレポートの 3 つの部分に分かれています。 Web アプリケーション方法論は、Web アプリケーション侵入テスト、モバイル アプリケーション侵入テスト、API 侵入テスト、IoT 侵入テストの Web テスト フレームワークの一部として、個別に使用することもできます。

3. ペネトレーションテスト実施基準

PTES (Penetration Testing Execution Standard) は、包括的な侵入テスト手法です。

PTES は情報セキュリティ専門家のチームによって設計され、ペネトレーション テストのあらゆる側面をカバーする 7 つの主要なセクションで構成されています。 PTES の目的は、組織がペネトレーション テストに何を期待すべきかを概説し、事前契約段階からプロセス全体を通してガイドするための技術ガイドラインを作成することです。

PTES は、侵入テストのベースラインとなり、セキュリティ専門家や組織に標準化された方法論を提供することを目的としています。このガイドでは、侵入テスト プロセスの最初から最後までの各段階でのベスト プラクティスなど、さまざまなリソースが提供されます。 PTES の主要な機能には、エクスプロイトとポストエクスプロイトがあります。エクスプロイトとは、次のような侵入テクニックを通じてシステムにアクセスするプロセスを指します。 社会工学 そしてパスワードクラッキング。悪用後とは、侵害されたシステムからデータが抽出され、アクセスが維持されることです。

4. 情報システムセキュリティ評価の枠組み

情報システム セキュリティ評価フレームワーク (ISSAF) は、情報システム セキュリティ グループ (OISSG) によってサポートされているペネトレーション テスト フレームワークです。

この方法論は現在は維持されていないため、最新の情報を得るには最適な情報源ではない可能性があります。ただし、その主な強みの 1 つは、個々の侵入テストのステップを特定の侵入テスト ツールにリンクしていることです。このタイプの形式は、個別の方法論を作成するための優れた基盤となります。

5. 米国国立標準技術研究所  

NIST (National Institute of Standards and Technology) の略称は、連邦政府および外部組織が従うべき一連の侵入テスト標準を提供するサイバーセキュリティ フレームワークです。 NIST は米国商務省内の機関であり、従うべき最低基準と見なされるべきです。

NIST 侵入テストは、NIST から送信されたガイダンスに準拠しています。このようなガイダンスに準拠するには、組織は事前に決定された一連のガイドラインに従って侵入テストを実行する必要があります。

侵入テストの段階

スコープを設定する

侵入テストを開始する前に、テスト チームと会社はテストの範囲を設定します。この範囲では、どのシステムがテストされるのか、いつテストが行​​われるのか、侵入テスターが使用できる方法が概説されます。また、スコープによって、ペネトレーション テスターが事前にどれだけの情報を得ることができるかが決まります。

テストを開始する

次のステップは、スコープ計画をテストし、脆弱性と機能を評価することです。このステップでは、組織のインフラストラクチャをより深く理解するために、ネットワークと脆弱性のスキャンを実行できます。組織のニーズに応じて、内部テストと外部テストを実行できます。侵入テスターが実行できるテストには、ブラック ボックス テスト、ホワイト ボックス テスト、グレー ボックス テストなど、さまざまなテストがあります。それぞれが、ターゲット システムに関するさまざまな程度の情報を提供します。

ネットワークの概要を確立したら、テスターは指定された範囲内でシステムとアプリケーションの分析を開始できます。このステップでは、侵入テスターは構成ミスを理解するためにできるだけ多くの情報を収集します。

調査結果の報告

最後のステップは報告と報告です。このステップでは、特定された脆弱性の概要を示すペネトレーション テストの結果をすべて記載したペネトレーション テスト レポートを作成することが重要です。報告書には、軽減計画と、修復が行われない場合の潜在的なリスクを含める必要があります。

ペネトレーションテストとIBM

すべてをテストしようとすると、時間、予算、リソースが無駄になります。履歴データを備えた通信およびコラボレーション プラットフォームを使用することで、リスクの高いネットワーク、アプリケーション、デバイス、その他の資産を一元化、管理、優先順位付けして、セキュリティ テスト プログラムを最適化できます。 X-Force® Red Portal を使用すると、修復に関係する全員が脆弱性が発見された直後にテスト結果を表示し、都合の良いときにセキュリティ テストをスケジュールすることができます。

X-Force のネットワーク侵入テスト サービスを探索する