“ハッカーの考える攻撃シナリオ”を生成する、世界初の自動侵入テストツール
2018.05.11
Updated by Hitoshi Arai on May 11, 2018, 09:49 am JST
Follow us on
侵入テスト(ペネトレーションテスト)とは
多くの企業は、セキュリティ対策の一環として、年に1度か2度、定期的に自社システムの脆弱性診断を行っている。脆弱性診断とは、対象となるシステム・サーバーに対して、様々な通信やコマンドを送信し、それによって取得できるサーバーやアプリケーションの情報から、どのような脆弱性がシステムに内在するかを診断するものである。
さらに企業によっては、その脆弱性診断結果に基づいた侵入テストも実施する。侵入テストとは、診断結果から明らかになった脆弱性に基いて、攻撃者の目線に立ってシステム・サーバーに侵入し、どこまで企業の持つ情報が取得できるのかを評価する。つまり、その脆弱性がどのようなビジネスインパクトを与える可能性があるかを明確化するテストである。
この診断・評価結果に基いて必要な対策を施すことで、改ざんや情報漏洩等の被害を未然に防ぐことができる。
なぜ侵入テストは人間が実行するのか?
これらのテストは、既に多くのセキュリティサービス企業が提供しており、特に脆弱性診断については、自動でテストするツールが数多く存在する。また、専門のエンジニアが、自動ツールでは診断が難しい項目(例えばWebの画面遷移状況により発生する脆弱性など)を手動で診断するメニューもある。
一方、侵入テストは、ほとんどの場合、専門のエンジニアがマニュアルで実施するものであり、ツールとして存在するのはRapid7のmetasploitくらいだろう。
しかしmetasploitは、エクスプロイトと呼ばれるプログラム(マルウエアの一種と考えて良い)を元にした攻撃のフレームワークであり、ラボ環境では実行できても本番環境で実行することは危険である。日本では一般論として、「本番環境を忠実に再現しているのがラボ環境」なので、ラボでのテストで問題がなければ本番でも大丈夫、と判断する。しかし、「いくら忠実に再現したつもりのラボ環境でも、本番環境との相違点が必ず見つかる」とイスラエル企業は指摘する。彼等に言わせれば、様々なテストは本番環境で実施できるのであればそれに越したことはない、のである。
全自動の侵入テスト
今回紹介する「CRONUS」は、イスラエルの大手サイバーセキュリティ企業「Madsecからスピンオフした企業である。この「侵入テスト」を完全自動化し、本番環境に対して24時間/365日で実行できるようにした初めてのツールである。
なぜ、本番環境をテストできるのか? それは、CRONUSはエクスプロイト(攻撃プログラム)を実行するのではなく、スキャン結果から明らかになった脆弱性を基にして、侵入可能と思われる重要資産までのルートを評価し、侵入を可能にする(エクスプロイトを実行する)条件が整っているかどうかをチェックするからである。まさにハッカーが攻撃のためにやる事前調査そのもの、といって良い。
ある「脆弱性」を基にシステムが攻撃されるためには、いくつかの条件が揃う必要がある。単純な例でいえば、FW(ファイアウオール)が通信を許可しているかどうか、関連するポートがオープンになっているかどうか、といったことである。脆弱性ごとにこれらの「条件」は異なるが、CRONUSはその「条件」が揃っているかどうかを自動的にチェックし、揃っていれば攻撃が実行され得る(攻撃を実行することと等価である)と判断して、フラグを立てるのだ。攻撃を実行することと等価な判断を下せるが、あくまで攻撃を実行するわけではないので、本番環境で直接テストできるのである。
ハッカーの考え方に基づく攻撃シナリオ生成アルゴリズム
しかも、攻撃のルート、シナリオは1種類ではない。ハッカーは当然のことながら様々な可能性を考える。いかにもイスラエル企業らしいが、その「ハッカーの考えかた」に基づいて攻撃パスシナリオを生成するアルゴリズムに特許を持っているという。
実際に対象となるネットワークをスキャンし、その中に存在するルーターなどのネットワークデバイスやOSごとにグループ化したサーバーなどの資産、それらのマップを可視化したものが下記のでも画面である。赤や青の線は、侵入可能な条件が整っているパスを示している。
この「攻撃パスシナリオ」を基にしたプロダクトの説明をしたビデオがこちらだ。
CRONUSは、24時間/365日でこのテストを実施し、脆弱性を管理するCybotというツールを提供する。NIST(National Institute of Standards and Technology)の基準で資産の重要性も自動判別し、クリティカルな資産への到達可能なパスを可視化する。
従来の人間がやる侵入テストでは、どんなに優れたセキュリティエンジニアによるテストでも、1日にチェックできる脆弱性、攻撃パスシナリオは有限だった。しかも、新しい脆弱性は日々見つかる。しかし、自動化ツールに任せれば、桁違いの数の攻撃パスシナリオによる侵入可能性をチェックすることができる。本当に彼等のいう通りの機能と性能なのであれば、とても現実的、かつ有効なテストツールであるはずだ。近々に試してみたいと思っている。
NTT武蔵野電気通信研究所にて液晶デバイス関連の研究開発業務に従事後、外資系メーカー、新規参入通信事業者のマネジメントを歴任し、2007年ネクシム・コミュニケーションズ株式会社代表取締役に就任。2014年にネクシムの株式譲渡後、海外(主にイスラエル)企業の日本市場進出を支援するコンサル業務を開始。MITスローンスクール卒業。日本イスラエル親善協会ビジネス交流委員。E-mail: hitoshi.arai@alum.mit.edu
