ponsuke_tarou’s blog

怖い人達から守れるか確認するペネトレーションテスト

情報処理技術者試験

勉強のきっかけになった問題
ペネトレーションテストとは、対象システムへ侵入してみるテスト技法です。
- 目的は、テスト対象に侵入できないことを確認することです。
  - 例えば、「ネットワークへのアクセスコントロールが有効に機能しているか。」をチェックします。

勉強のきっかけになった問題

ペネトレーションテストの目的はどれか。

暗号化で使用している暗号方式と鍵長が，設計仕様と一致することを確認する。

対象プログラムの入力に対する出力結果が，出力仕様と一致することを確認する。

ファイアウォールが単位時間当たりに処理できるセッション数を確認する。

ファイアウォールや公開サーバに対して侵入できないことを確認する。

平成26年春期問42 ペネトレーションテストの目的｜応用情報技術者試験.com

ペネトレーションテストとは、対象システムへ侵入してみるテスト技法です。

英語では、penetration test です。侵入テストとか侵入実験とも言います。
penetrationは和訳すると「侵入、進出」になります。
実際にネットワークの外部から内部へ侵入してみるテストで、ファイアウォール部分なんかのテストに使います。

通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つで、既に知られている手法を用いて実際に侵入や攻撃を試みる方式。
e-words.jp

目的は、テスト対象に侵入できないことを確認することです。

ネットワークに接続された情報システムは、外部からの攻撃にさらされる可能性があるので、対策をします。
例えば・・・

セキュリティ用のソフトなどの導入
ファイアーウォールの導入

とはいえ・・・

設定が十分じゃないかも
新たな脆弱性をついた攻撃手法が開発されるかも

そこで、ペネトレーションテストを実施して

システムが攻撃に対して安全かな？
攻撃を受けた場合にどこまでセキュリティツールは耐えてくれるかな？
侵入されたらそこを踏み台にして他のネットワークを攻撃しないかな？

とかとか不安なことを観点にテストします。

例えば、「ネットワークへのアクセスコントロールが有効に機能しているか。」をチェックします。

侵入テストでは、セキュリティ強化を目指す管理者側が敢えてセキュリティホールの探査を攻撃を試みる。事前にあらゆる方法の攻撃を仕掛けてみることによって、セキュリティ上の問題を早期に発見し、対策を講じることができる。
www.sophia-it.com

近年インターネットの普及が目覚ましく、新たな技術がばりばり進出し・・・便利 VS 危険な状態です。

会社でもセキュリティのお話はよく出てきます。
labs.opentone.co.jp
labs.opentone.co.jp
labs.opentone.co.jp
labs.opentone.co.jp
labs.opentone.co.jp

造ったら使う前にちゃんとセキュリティの脆弱性をチェックしなきゃならない世の中です。