はじめに

ペネトレーションテストはみなさんご存じでしょうか。

「認識はあるけど何をしているのかわからない」、「定期的に委託業者へ依頼し実施している」など、さまざまかと思います。実際、外部に委託してペネトレーションテストを実施する企業は多く、顧客に対してセキュリティへの安心を高めることができます。

そこで今回は、外部テスト/内部テストの実施について各メリット/デメリットをまとめてご紹介します！

ペネトレーションテストとは？

一言でいえば、ネットワークに対してのセキュリティテストです。

セキュリティテストといってもテスト項目はさまざまで、実施内容も業者や企業によって異なります。要件に合わせたシナリオを作成しシナリオに基づいたテスト行うことで、ネットワークの脆弱性や問題点のチェックを行うことができます。

では、ここで脆弱性診断とペネトレーションテストでは何が違うのか？と疑問に思う人が出てくるかと思います。 脆弱性診断は「セキュリティが大丈夫かどうか、網羅的に診断を行うテスト」、ペネトレーションテストとは「意図的に攻撃者に目的が達成されてしまうかというテスト」です。

外部テストと内部テストの違いについて

それでは、実際に外部と内部では何が違うのかという点について記載します。

外部テストでは、「攻撃者が外部から侵入することを想定としたテスト」であり、外部に公開しているネットワークから疑似的な攻撃を実施。情報漏洩や管理者権限を与えてしまう脆弱性を見つけ、侵入などにつながるリスクを洗い出すことができます。

一方で、内部テストでは、「攻撃者が既に内部へ侵入していることを想定としたテスト」であり内部ネットワーク帯（ローカルなネットワーク間）での疑似的な攻撃を行うことで、内部不正や会社組織が攻撃起点となった場合の脅威を見つけることができます。

一般的には外部からの攻撃で侵入されないようにセキュリティ面を守ることが多いですが、万が一内部的に侵入された場合のリスクも想定しておかなければいけません。

外部テスト

種類

外部テストは攻撃者が外からのネットワークに対してテスト実施します。主に一般的に実施されるテストは標的型攻撃に対するテストが多い印象です。マルウェアやウイルスのメールからどこまでの情報を奪取できるかなど、外部からのどこまで侵入できるかをテストできます。

＜具体例＞

外部公開サーバーを踏み台とされるテスト

メリット/デメリット

＜メリット＞

外部からのセキュリティ対策の有効性を可視化

webサイトにおいて、不正侵入の可能性、DoS攻撃、DDoS攻撃への耐性調査

＜デメリット＞

コスト単価が大きい（1回で数百万円ほどのコストがかかる）

専門知識を持ったテスト者が必要

テスターによる使用ツールやテスト方法により、シナリオが同じでも結果が異なる。

内部テスト

種類

内部テストは外部テストとは違い、すでに攻撃者が内部へ侵入していることを想定としたテストです。代表的な例としては以下が挙げられます。

＜具体例＞

ユーザー権限調査

イントラネットワークにある共有フォルダの調査

ユーザーのなりすまし

上記例のシナリオを作成し、ゴールは「内部情報の奪取」とした場合、ペネトレーションテストとしては内部に侵入した攻撃者は繰り返し例に記載した攻撃を繰り返し行うことになります。

外部テストとは違い、内部テストでは各ユーザーに対してのセキュリティ対策ができているかの確認が行えることが一番のメリットだと感じます。

メリット/デメリット

＜メリット＞

パスワードが複雑化されているか等、ユーザーへの確認が行える

安易に機密情報などを見られるようにしていないか（ユーザー権限が適切か）

パスワード安易にbackupをとっていないか。

＜デメリット＞

コスト単価が大きい（1回で数百万円ほどのコストがかかる）

専門知識を持ったテスト者が必要

テスターによる使用ツールやテスト方法により、シナリオが同じでも結果が異なる。

最後に

ペネトレーションテストを実施する為に、専門の知識や外部へ委託する必要がありますが自社で漏洩しては困る情報が何なのか、どのシステムなのか、などを見直し、結果を評価できます。

一言でまとめるのであれば、「企業のセキュリティ上の課題を見える化でき、さらに強化なセキュリティ強化を目指せる」ということになります。

まとめた情報はインターネット上にさまざまありますが、「よくわからない」、「コスト面が不安」という方でも本記事をきっかけに検討してみてはいかがでしょうか。