ペネトレーションテストとは、セキュリティ攻撃を模擬的に行うテストです。本質的には、企業が自社システムに対して悪用可能な脆弱性の有無を確認するための模擬演習です。Webアプリケーションファイアウォールのセキュリティに重点を置き、ペネトレーションテストはアプリケーションプログラミングインターフェース、サーバー、そして侵入の恐れがあるあらゆる侵入ポイントをターゲットとします。
セキュリティ企業Penteraが米国と欧州における侵入テストの導入状況に関する第2回年次レポートで発表した内容によると、92%の組織がITセキュリティ予算全体を増額していることが明らかになりました。特に86%は侵入テストの予算を増額しています。
参照: DLL サイドローディングと CVE 攻撃は脅威の多様性を示す (TechRepublic)
しかし、ペンテストと IT セキュリティの予算は、米国よりもヨーロッパで大幅に増加しており、ヨーロッパの回答者の 42% がペンテスト予算が 10% 以上増加したと報告しているのに対し、米国の回答者では 17% でした。一部の推計によると、ペンテスト市場は、この分野の大手企業である IBM、Rapid7、FireEye、Veracode、Broadcom が牽引し、2026 年までに 24.3% 成長する見込みです。
企業のセキュリティ検証を自動化するペンテラは、副社長または経営幹部レベルのセキュリティ担当役員300名を対象に調査を実施しました。回答者はグローバルB2B調査パネルを通じて募集され、メールでアンケートへの回答を依頼されました。すべての回答は2022年12月に回収されました。
ジャンプ先:
- クラウドとインフラサービスがペンテストの最大の焦点
- ほとんどのCISOはIT部門とできるだけ早くペンテストを共有している
- ホワイトハットの攻撃を許す障壁と抵抗
- ペンテストとレッドチーム演習: 類似点と相違点は何ですか?
- 2023 年にペンテストを推進するものは何でしょうか?
クラウドとインフラサービスがペンテストの最大の焦点
ペンテラの調査によると、企業は平均44のセキュリティソリューションを導入しており、複数のセキュリティソリューションを階層化することで重要な資産を最適に保護する「多層防御」戦略をとっていることが示されています。こうしたいわゆる「多層防御」戦略に多額の投資を行っているにもかかわらず、ペンテラの調査対象となった組織の88%が最近サイバー攻撃に見舞われています。
調査では、最もテストされたインフラストラクチャ層の内訳が示されました。
- クラウド インフラストラクチャとサービス (44%)。
- 外部向け資産(41%)
- コアネットワーク(40%)
- アプリケーション(36%)
- Active Directory とパスワードの評価 (21%)。
調査回答者がペンテストを実施する主な動機は次のとおりです。
- セキュリティ管理と検証(41%)
- 攻撃による潜在的な被害の評価(41%)
- サイバー保険(36%)
- 規制遵守(22%)
「CISOは、リスクを効果的に軽減するために、セキュリティスタック全体の検証をより重視する必要があると結論付けています」と、ペンテラの最高マーケティング責任者であるアビブ・コーエン氏は述べた。
ほとんどのCISOはIT部門とできるだけ早くペンテストを共有している
ペンテラ社によると、調査対象となった最高情報セキュリティ責任者(CIO)の47%が、結果をITセキュリティチームと直ちに共有していると回答しました。運用の整合性への影響を考慮すると、この数字は一見低いように思えるかもしれませんが、ペンテラ社のカスタマーオペレーション担当バイスプレジデントであるチェン・テネ氏は、ペンテストがコンプライアンスの「i」を点在させる行為だったかつての時代と比べると、これは大きな進歩だと述べています。
「かつてはコンプライアンスに基づいた結果を得て、それを箱に入れて認証を受けるというやり方でした」とテネ氏は述べた。「今では状況は大きく改善されています。サイバー保険に関心を持つ人が増えたことも一因です。サイバー保険は誰もが理解している分野ですから。」
そうした企業の一つであるサイバーセキュリティおよび保険会社のCoalitionでは、引受審査においてレッドチーム演習を義務付けていないと、同社のセキュリティエンジニアであるトミー・ジョンソン氏は述べている。
「組織が成熟したセキュリティプログラムを備え、セキュリティを包括的に考えていることを示すことはできますが、私たちはそれを決定要因とは考えていません。私たちにとっては、これは前向きなシグナルであり、奨励しています」とジョンソン氏は述べた。
CISO が侵入テストの結果を直ちに提供したその他の人物やグループは次のとおりです。
- 取締役会(CISO の 43% が最初にここに参加しました)。
- 経営幹部レベルの同僚(38%)
- 顧客(30%)
- 規制当局(20%)
- アーカイブ(9%)
- どこにも無い(3%)
ホワイトハットハッキングに対する障壁と抵抗
ペネトレーションテストは業務に支障をきたす可能性があるのでしょうか?CISOはこの点を懸念しています。実際、手動か自動かを問わず、既にペネトレーションテストを実施しているCISOの45%は、業務アプリケーションやネットワークの可用性に対するリスクがテストの頻度を上げる妨げになっていると回答しています。また、ペネトレーションテストを全く実施していない回答者の56%も同様の意見を述べています。ペネトレーションテストを実施しない理由として2番目に多かったのは、ペネトレーションテスターの確保、あるいは不足でした。
テネ氏は混乱の懸念は正当であると認めた。
「多くの組織が侵入テストによる混乱に悩まされています」とテネ氏は述べた。「侵入テスト担当者が組織内に入り込み、侵入型のテストを実施する場合、例えば様々なレベルのサービス拒否攻撃を引き起こす可能性は常に存在しますが、管理者の前に人が座っている場合は、誤差が生じる可能性があります。」
テネ氏は、ペンテラの主要事業である自動化された侵入テストはスピードと効率の面で利点があり、パスワードのハッキングやネットワーク内での横方向の移動からさまざまな種類のエクスプロイトやクロスエクスプロイトまで、あらゆるテストを定期的に実施することが容易になると述べた。
彼は、「人材がいれば素晴らしい」ものの、ホワイトハットハッカーのチームを雇ってインフラの定期的な侵入テストを実施するのは、多くの企業にとって予算的に無理だと主張した。調査では、米国の回答者の33%が、手動による侵入テスト評価をより頻繁に実施しない理由として、この点を挙げている。
「人間は一度に2つか3つの動作しかできませんが、機械は一度に10つか15の動作を行うことができます」とテネ氏は語った。
ペンテストとレッドチーム演習: 類似点と相違点は何ですか?
ペンテストとレッドチーム演習を混同したくなるかもしれないが、一部重複している部分もあるものの、重要な違いもあるとジョンソン氏は言う。
「一般的に、ペネトレーションテストは、対象となるネットワーク資産をスキャンして技術的な設定ミスや脆弱性を見つけ出し、実際の攻撃によって確認するために実施されます」とジョンソン氏は述べた。「レッドチーム演習は、より対象を絞ります。
「通常、技術的および物理的な弱点を悪用して、脅威の主体が同じことを行えば組織に損害を与えるような目的を達成するチームが関与します。」
例えば、経営陣はレッドチームにデータセンターへの侵入を指示し、特定の社内サーバーに悪意のあるUSBメモリを挿入するよう指示する場合があります。この演習には、ソーシャルエンジニアリング、バッジの複製、技術的なエクスプロイトなど、標準的な侵入テストの範囲を超える戦術が含まれる場合があります。
参照: 脆弱性スキャンと侵入テストの違いは何ですか? (TechRepublic)
レッドチーム演習とペンテストには重複する部分もありますが、私にとって重要な違いは目的です。ペンテストは通常、技術的な弱点を列挙して悪用することを目的としていますが、レッドチーム演習は、事前に定義された目的を達成するために、物理的および技術的な弱点を悪用します。しかし、どちらも、早急に修正する必要がある可能性のあるセキュリティ上の欠陥を明らかにすることを目的としています。
2023 年にペンテストを推進するものは何でしょうか?
ガートナーは2022年10月に、情報セキュリティおよびリスク管理製品とサービスへの支出が今年11.3%増加して1,883億ドルを超えると予測しました。
ペンテラ社によると、CISOの67%が社内にレッドチームがあると報告しているが、セキュリティ担当幹部の96%は2023年末までにこの重要なタスクのために社内にレッドチームをすでに設置しているか、設置する予定であると報告している。
テネ氏は、近い将来、クラウド インフラストラクチャのセキュリティが大幅に向上するだろうと述べました。
「企業はクラウドに依存しているが、セキュリティレベルは不明であり、それを検査する方法を知っているセキュリティ専門家はほとんどいない」とテネ氏は語った。
Tene 氏はまた、VPN、メールボックス、電話、ホーム ネットワークなどを通じてワークスペースにリモート アクセスされることによって特徴付けられる脅威サーフェスにおいて、資格情報の露出に関する問題が今後も続くだろうと予測しました。
「これはほぼすべての攻撃の出発点です」とテネ氏は述べた。「しかし、認証情報に関するセキュリティの概念的理解は今後さらに深まり、日常業務におけるアイデンティティ管理に関する意識も大幅に向上すると思います。」
次に読む: 最高の侵入テストツール: 購入者向けガイド (TechRepublic)
