{series}シリーズの一部
完全ガイドを読むビジネス向けペネトレーション テスト ガイド: 範囲、方法、修復
侵入テスト (ペネトレーション テスト) は、システムに対する実際の攻撃をシミュレートし、攻撃者が行う前に脆弱性を発見します。自動化された脆弱性スキャンとは異なり、ペネトレーション テストには、攻撃者の立場になって考え、脆弱性を連鎖させ、自動ツールではできない方法で防御をテストする熟練したセキュリティ専門家が関与します。
Coalfire の調査によると、侵入テストの 73% で少なくとも 1 つの重大な脆弱性が発見され、42% で完全なシステム侵害への道が発見されました。しかし、多くの組織は侵入テストの実施が不十分で、範囲が狭すぎたり、間違ったベンダーを選択したり、調査結果に基づいて行動しなかったりします。このガイドにより、侵入テストへの投資から最大限の価値を確実に得ることができます。
侵入テストの種類
| タイプ | 範囲 | 通常の期間 | コスト範囲 |
|---|---|---|---|
| 外部ネットワーク | インターネットに接続されたシステムとサービス | 3~5日 | 5,000 ~ 25,000 ドル |
| 内部ネットワーク | ネットワーク内からシステムにアクセス | 3~7日 | 8,000~30,000ドル |
| ウェブアプリケーション | 特定の Web アプリケーション | アプリごとに 3 ~ 10 日 | アプリごとに 5,000 ~ 20,000 ドル |
| モバイルアプリケーション | iOS および/または Android アプリケーション | プラットフォームごとに 3 ~ 7 日 | プラットフォームごとに 5,000 ~ 15,000 ドル |
| ソーシャルエンジニアリング | フィッシング、ビッシング、物理的テスト | 5~10日 | 5,000~20,000ドル |
| レッドチーム | 完全な敵対者シミュレーション (すべての方法) | 2~4週間 | 3 万ドル~10 万ドル以上 |
| クラウドセキュリティ | AWS/Azure/GCP の構成とサービス | 3~7日 | 8,000~25,000ドル |
| APIテスト | API エンドポイントと認証 | 3~5日 | 5,000~15,000ドル |
知識レベル
| レベル | 説明 | シミュレートする |
|---|---|---|
| ブラックボックス | テスターはターゲットに関する情報を持っていません | 内部知識のない外部の攻撃者 |
| グレーのボックス | テスターはいくつかの情報 (資格情報、アーキテクチャ ドキュメント) を持っています。初期アクセス権を取得した攻撃者 | |
| ホワイトボックス | テスターはソース コードとアーキテクチャに完全にアクセスできます。インサイダー脅威、総合評価 |
侵入テストの範囲を設定する
ステップ 1: 目標を定義する
| 目的 | テストの種類 | 優先順位 |
|---|---|---|
| PCI DSS 要件 11.3 に準拠 | 外部 + 内部ネットワーク | 規制 |
| 新しいアプリケーションのセキュリティを起動前に検証する | ウェブアプリケーション | 高 |
| 従業員のフィッシングに対する感受性をテストする | ソーシャルエンジニアリング | 中 |
| 取締役会会議前の完全な敵対者シミュレーション | レッドチーム | 戦略的 |
| クラウドのセキュリティ体制を検証する | クラウドセキュリティ評価 | 高 |
ステップ 2: 範囲を定義する
以下を含めます:
- インターネットに接続されているすべての IP アドレスとドメイン
- 重要な社内システム (ERP、人事、財務)
- Web アプリケーション (本番 URL)
- APIエンドポイント
- クラウド環境とサービス
- 認証メカニズム
除外 (正当な理由あり):
- あなたが所有していないサードパーティのホスト型サービス
- 開発中のシステム (代わりにテストステージング)
- ピーク業務時間中の生産システム (業務時間外にスケジュール)
- 特別に許可されていない限り、破壊的テスト (DoS、データ破壊)
ステップ 3: 関与ルールを設定する
テストを開始する前にこれらを文書化してください。
| ルール | 仕様 |
|---|---|
| テストウィンドウ | 平日は午後 6 時から午前 6 時まで、週末はいつでも |
| 緊急連絡先 | テストで混乱が生じた場合は [名前、電話番号] |
| 立ち入り禁止システム | [決してテストしてはいけないシステムのリスト] |
| データ処理 | テスターは実際のデータにアクセスすることはできますが、抽出することはできません。 |
| ソーシャル エンジニアリングの範囲 | 電子メールフィッシングのみ、物理的アクセステストなし |
| 悪用の深さ | アクセスを証明しますが、運用データは変更しないでください |
| 通信周波数 | 毎日のステータス更新、重要な発見の即時通知 |
侵入テスト ベンダーの選択
評価基準
| 基準 | 重量 | 質問 |
|---|---|---|
| 認証 | 20% | チームメンバーにOSCP、CREST、GPEN、CEHはいますか? |
| 経験 | 25% | 創業何年? Industry experience? Similar engagements? |
| 方法論 | 20% | どのような方法論 (OWASP、PTES、NIST) ですか? How do they test? |
| Reporting quality | 15% | サンプルレポートをご覧いただけますか?改善指導は含まれますか? |
| References | 10% | 過去のクライアント3名とお話しできますか? |
| 保険 | 10% | 専門職賠償責任とサイバー保険は最新ですか? |
Red Flags
- ベンダーは自動スキャンのみを提案しています (実際の侵入テストではありません)
- 認定資格を持つ指名テスターがいない
- 非常に低価格(複数日間の契約で 3,000 ドル未満)
- 関与ルールに関する議論はありません
- レポート テンプレートには修正ガイダンスがありません
- ベンダーは自社の方法論を説明できない
侵入テスト レポートを理解する
脆弱性の重大度評価
| 重大度 | CVSS Score | 説明 | 修復タイムライン |
|---|---|---|---|
| クリティカル | 9.0-10.0 | 即時システム侵害の可能性 | Within 48 hours |
| 高 | 7.0-8.9 | 重大なセキュリティへの影響 | 2週間以内 |
| 中 | 4.0-6.9 | 中程度の影響。特定の条件が必要な場合があります | 30日以内 |
| 低い | 0.1-3.9 | 影響は軽微、悪用可能性は限定的 | Within 90 days |
| Informational | 0 | ベストプラクティスに関する推奨事項 | 次回の定期メンテナンス |
優れたレポートの内容
- 概要 --- 専門用語ではなく、ビジネス リスクに関する用語
- 方法論 --- 何をどのようにテストしたか
- 重大度、証拠、ビジネスへの影響を伴う調査結果**
- 各調査結果に対する 修復ガイダンス (具体的、実用的)
- 肯定的な調査結果 --- あなたがうまくやっている点
- セキュリティ向上のための 戦略的な推奨事項
- 付録には生データと詳細な技術的証拠が含まれます
修復プロセス
ステップ 1: トリアージ (1 ~ 2 日目)
- IT およびセキュリティ チームとすべての調査結果を確認します
- 検出結果を検証します (検出結果が偽陽性ではなく本物であることを確認します)
- 検出結果ごとに所有者を割り当てます
- 重大度とビジネスリスクに基づいて優先順位を付けます
ステップ 2: 計画 (3 ~ 7 日目)
| 発見 | オーナー | 修復アプローチ | タイムライン | 依存関係 |
|---|---|---|---|---|
| ログイン時の SQL インジェクション | 開発リーダー | 入力検証 + パラメータ化されたクエリ | 48時間 | なし |
| デフォルトの管理者パスワード | IT管理者 | パスワードのローテーション + ポリシーの適用 | 24時間 | なし |
| 内部 API に TLS がありません | プラットフォームチーム | 証明書の展開 | 2週間 | 証明書の取得 |
| 古いサーバー OS | IT 運用 | パッチのスケジュール設定 | 30日 | ウィンドウを変更 |
ステップ 3: 修復 (さまざま)
- 重要な検出結果と重要な検出結果をすぐに修正します
- 中程度の結果を次のメンテナンスウィンドウにグループ化します
- 次の四半期に低い結果をスケジュールする
ステップ 4: 検証 (修復後)
- 重要かつ重要な結果の再テストをリクエストします (ほとんどのベンダーには限定的な再テストが含まれています)
- 修復の証拠を文書化する
- リスク登録簿を更新する
侵入テストのスケジュール
| 評価 | 周波数 | トリガー |
|---|---|---|
| 外部ネットワーク | 毎年 (最低) | 主要なインフラストラクチャ変更後も |
| ウェブアプリケーション | 毎年 + メジャー リリース前 | 新しいアプリケーションのリリース、重要なアップデート |
| 内部ネットワーク | 毎年 | オフィスネットワーク変更後も |
| クラウドセキュリティ | 毎年 | クラウド アーキテクチャが大幅に変更された後も |
| ソーシャルエンジニアリング | 隔年 | 進行中のフィッシング シミュレーションがこれを補います。 |
| レッドチーム | 2年ごと | 大規模なセキュリティ投資後の取締役会レベルの保証 |
関連リソース
- インシデント対応計画テンプレート --- 脆弱性が悪用された場合の対処方法
- ゼロトラスト実装ガイド --- アーキテクチャー防御
- クラウド セキュリティのベスト プラクティス --- クラウド固有のセキュリティ
- API セキュリティと認証 --- 侵入テストの対象となる API のセキュリティ保護
侵入テストは、セキュリティ プログラムの現実性をチェックするものです。これにより、ユーザーが考えるセキュリティ体制と攻撃者が認識するセキュリティ体制との間のギャップが明らかになります。セキュリティ評価と侵入テストの調整については、ECOSIRE までお問い合わせください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
AI エージェントのセキュリティのベスト プラクティス: 自律システムの保護
AI エージェントを保護するための包括的なガイド。プロンプト インジェクション防御、権限境界、データ保護、監査ログ、運用セキュリティをカバーします。
e コマース向け AI 詐欺検出: 優良顧客をブロックせずに収益を保護
AI 詐欺検出を導入して、不正取引の 95% 以上を捕捉し、誤検知を 50 ~ 70% 削減します。モデル、ルール、実装について説明します。
SMB 向けのクラウド セキュリティのベスト プラクティス: セキュリティ チームなしでクラウドを保護する
中小企業が専任のセキュリティ チームなしで実装できる、IAM、データ保護、モニタリング、コンプライアンスの実践的なベスト プラクティスにより、クラウド インフラストラクチャを保護します。
{series}のその他の記事
AI エージェントのセキュリティのベスト プラクティス: 自律システムの保護
AI エージェントを保護するための包括的なガイド。プロンプト インジェクション防御、権限境界、データ保護、監査ログ、運用セキュリティをカバーします。
SMB 向けのクラウド セキュリティのベスト プラクティス: セキュリティ チームなしでクラウドを保護する
中小企業が専任のセキュリティ チームなしで実装できる、IAM、データ保護、モニタリング、コンプライアンスの実践的なベスト プラクティスにより、クラウド インフラストラクチャを保護します。
地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
米国、EU、英国、APAC、中東にわたるサイバーセキュリティ規制をナビゲートします。 NIS2、DORA、SEC ルール、重要なインフラストラクチャ要件、コンプライアンスのタイムラインをカバーします。
エンドポイント セキュリティ管理: 組織内のすべてのデバイスを保護
現代の従業員向けに、デバイス保護、EDR 導入、パッチ管理、BYOD ポリシーのベスト プラクティスを使用してエンドポイント セキュリティ管理を実装します。
インシデント対応計画テンプレート: 準備、検出、対応、回復
準備、検出、封じ込め、根絶、回復、インシデント後のレビューをカバーする完全なテンプレートを使用して、インシデント対応計画を作成します。
セキュリティ意識向上トレーニング プログラムの設計: 人的リスクを 70% 削減
魅力的なコンテンツ、シミュレーション、測定可能な結果を通じてフィッシングのクリック率を 70% 削減するセキュリティ意識向上トレーニング プログラムを設計します。