侵入テスト(ペネトレーションテスト)の有効性
問 題 《情報セキュリティアドミニストレータ午後対策》
住基ネットの侵入テスト、「まだ公式発表はなし」と長野県
http://www.itmedia.co.jp/enterprise/0310/03/epn01.html
を読んで下記問いに答えよ。
(1)今回のペネトレーションテストの範囲はどのようなものか。
(2)上記(1)以外にどのようなテストが行わなければならないか。
(3)一度のテスト結果だけで、安全かそうでないかを判断することは
できないがそれはなぜか。
(4)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)今回のペネトレーションテストの範囲はどのようなものか。
>基ネットの入り口に当たるコミュニケーションサーバにセキュリティ
>ホールや設定上の不備がないかをチェックするもの。
>るコミュニケーションサーバに、セキュリティホールや設定上の不備
>がないかどうかをチェックするもので、あくまで技術的な観点から行
>われている。
セキュリティを実装した後は、そのセキュリティ対策が有効であるか
確認しなければなりません。
脆弱性ツールなどを利用したペネトレーションテストは確認するための
有効な手段です。
ペネトレーションテストの対象や実施方法はさまざまな観点から実施することが
できますので、あらかじめ目的、範囲を明確にしておく必要があります。
◇ペネトレーションテスト とは。。。
ネットワークに外部から不正に侵入できないかどうかを実際に試
してみるテストのことです。主なテスト項目は以下の通りです。
・外部から不正に侵入されないかどうか
・DoS攻撃を受けた場合にどの程度耐えられるのか
・他のコンピュータを攻撃する踏み台にされないかどうか
(2)上記(1)以外にどのようなテストが行わなければならないか。
>
>・管理的要因から想定される脅威
> 現場で運用にあたる担当者へのソーシャルエンジニアリングへの対応
>
>・物理的要因から想定される脅威
> 端末の設置場所や設置の仕方、入退室管理へ
> ても、それにだまされることなくきちんと対応できるかどうか。
>・端末の設置場所や設置の仕方が適切か。
>・入退室管理を含む物理的セキュリティの観点からのチェック。
情報資産の3要素(機密性、完全性、可用性)を保護するためには
人的(管理的)、技術的(論理的)、物理的及び環境的な観点から、
セキュリティを確保しなければなりません。
ペネトレーションテストの技術的観点のほかに、
人的(管理的)、物理的及び環境的セキュリティ対策が十分であるかどうか
チェックする必要があります。
>それにだまされることなくきちんと対応できるかどうかや、端末の
>設置場所や設置の仕方、入退室管理を含む物理的セキュリティの観点からの
>チェックである。
ハッカー(クラッカー)は、技術的セキュリティが確保されている情報資産に対して
ネットワーク経由で攻撃をしかけてくるとは限りません。
ネットワーク管理者に近づき、だます、金品を渡す、脅すなどの
ソーシャルエンジニアリングにより、管理者権限を奪取するでしょう。
◇ソーシャルエンジニアリング とは。。。
ネットワークの管理者や利用者などから、話術や盗み聞き、盗み
見などの「社会的」な手段によって、パスワードなどのセキュリ
ティ上重要な情報を入手することです。
(3)一度のテスト結果だけで、安全かそうでないかを判断することは
できないがそれはなぜか。
>新種のコンピュータウィルス、続々と見つかるセキュリティホール
>などの外部要因の変化と共に、ソフトウェアのバージョンアップな
>どの環境の変化、内部要因の変化が考えられると思います。
> ったものでも、時間が経てばそうではなくなることも多いから。
>たものでも、時間が経てばそうでなくなることも多いから、一度のテ
>スト結果だけで、安全かそうでないかを判断することはできない。
セキュリティホールを発見することを目的としており、恒常的に安全ということは
保証していません。
(4)感想・調べたこと
>ただし、情報セキュリティでの「テスト」である以上は、
>想定されるあらゆる脅威(物理的、技術的、管理的)に対して
>様々な視点で行う必要があるのでは?と思いました。
>
>また、今回の記事の中で「危険、安全の単純な二元論ではいけない」
>というくだりがありましたが、大変共感をしました。
>「セキュリティに100%は有り得ない」この一言です。
>確かに私たちの現実社会でも、100%のセキュリティは有り得ません。
>身元を保証する免許証を紛失したら…?
>ピッキングで家宅侵入されたら…?
>必要なのは、可能性のあるリスクを把握し、それらをコントロール
>していくことだと思います。
毎日新聞「インターネット事件を追う」
住基ネット侵入実験 識者「脆弱性の存在、厳粛に受け止めるべき」
http://www.mainichi.co.jp/digital/network/archive/200312/16/6.html
政府の電子政府評価・助言会議メンバーである山口英・奈良先端科学技術大学院教授
(ネットワークセキュリティー)の見解が載っていますので参考にしてください。
>ュリティーにおける知識の偏りによる検証漏れを防ぐ為に、開発を依
>頼した業者とは異なる業者を選ぶ事が好ましいという事があります。
>また、セキュリティースキャナの利用は対象者のセキュリティーホー
>ルを外部から探る事ができるといった性質上、悪意のある者に利用さ
>れれば不正進入の手がかりを検知されてしまいます。高度なセキュリ
>ティーレベルを保つ為にはあらゆる視点から「ここが危ないのではな
>いか?」という発想で継続的に対策を検討する事が必要であると感じ
>ています。
ペネトレーションテストサービスを利用する場合は、セキュリティ
関連ベンダーの技術力や信用度を十分に評価した上、選定する必要があります。
また機密保持契約等の契約条件を明確する必要があります。
sponsored link
このページ
のTOPへ
