攻撃者視点で見るセキュリティ - ペネトレーションテストの有効性についてトライコーダ・上野氏が解説

●セキュリティ対策の総合力を確かめるペネトレーションテスト
多様化するサイバー攻撃は、いずれの企業にとっても悩みの種であることは間違いない。セキュリティに対する考え方はさまざまあるが、今後、自社の持つシステムやデータを守っていく上で、どのような視点を持つべきなのか。

9月27日、28日に開催された「TECH+ セキュリティ2022」では、トライコーダ 代表取締役で、OWASP（Open Web Application Security Project）Japanの代表を務める上野宣氏が登壇。「境界型防御からゼロトラストまで破るペネトレーションテストとは」と題した講演を行い、境界型セキュリティの問題点、ペネトレーションテストの有効性、認証仕様の考え方などについて解説した。
○セキュリティ対策の総合力を確かめるペネトレーションテスト

ペネトレーションテストとは、ハッキング技術を駆使して調査対象のシステムに侵入を試み、セキュリティ対策の総合力を確かめるテストを指す。システムを攻撃する上で侵入口となる脆弱性を網羅的に検出する脆弱性診断に対して、ペネトレーションテストではメールに記載されたURLや添付ファイルを起点とした侵入なども含むより実践的な攻撃手法を想定し、セキュリティ強度や侵入された場合の被害レベルなどを調査する。つまり、明確な意図を持った攻撃者がその目的を達成することが可能か否かを、攻撃者と同じ立場から検証するものだ。