Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.2.2. アセスメントとテストの定義

脆弱性アセスメントは、外部からの視点内部からの視点の 2 種類に分類できます。
外部からの視点で脆弱性アセスメントを実施する場合、システムに外部から攻撃を試みます。会社の外部に位置することで、攻撃者の視点を得ることができます。一般にルーティング可能な IP アドレスや DMZ にあるシステムやファイアウォールの外部インターフェースなど、攻撃者が目を付けるものに着目します。DMZ は「非武装地帯 (demilitarized zone)」を表し、企業のプライベート LAN などの信頼できる内部ネットワークと公的なインターネットなどの信頼できない外部ネットワークの間にあるコンピューターまたは小さなサブネットワークに相当します。通常、DMZ には Web (HTTP) サーバー、FTP サーバー、SMTP (e-mail) サーバーおよび DNS サーバーなど、インターネットのトラフィックにアクセスできるデバイスが含まれます。
内部からの視点で脆弱性アセスメントを実施する場合、実行者は内部関係者であり、信頼されるステータスにあることから、有利な位置に立ちます。内部からの視点は、実行者やその同僚がシステムにログオンした時点で得られるものです。プリントサーバーやファイルサーバー、データベースおよびその他のリソースを見ることができます。
これら 2 種類の脆弱性アセスメントには大きな違いがあります。会社の内部にいる場合は、外部者にはない多くの特権が与えられます。多くの組織では、侵入者を締め出すようにセキュリティが構成されています。しかし、組織内の各分野に対しては、ほとんどセキュリティ対策が取られていません (部門内ファイアウォール、ユーザーレベルのアクセス制御および内部リソースに対する認証手順など)。また、一般的にほとんどのシステムは社内にあるので、内部からの方がより多くのリソースを確認できます。いったん社外に移動すると、ステータスは信頼されない状態になります。外部から利用できるシステムやリソースは、通常は非常に限られたものになります。
脆弱性アセスメントと侵入テストの違いを考えてみましょう。脆弱性テストを侵入テストの第一歩と捉えてください。アセスメントで得られる情報は、その後のテストで使用されます。アセスメントはホールや潜在的な脆弱性を検査する目的で行われるのに対し、侵入テストでは調査結果を実際に使用する試みがなされます。
ネットワークインフラストラクチャーのアセスメントは動的なプロセスです。セキュリティ (情報セキュリティと物理的なセキュリティ) は動的に実施されます。システムでアセスメントを実施することで概要が明らかになり、誤検出 (False positives) と検出漏れ (False negatives) が示される場合があります。誤検出では、実際には存在しない脆弱性をツールが検出します。検出漏れでは、実際の脆弱性が省略されます。
セキュリティ管理者の力量は、使用するツールとその管理者が有する知識で決まります。現在使用できるアセスメントツールのいずれかを選び、それらをシステムに対して実行すると、ほぼ間違いなくいくつかの誤検出が見つかります。プログラム障害かユーザーエラーかに関わらず、結果は同じです。ツールは誤検出することもあれば、さらに悪い場合は、検出漏れをすることもあります。
脆弱性アセスメントと侵入テストの違いが定義されたところで、新たなベストプラクティスの一環として侵入テストを実施する前に、アセスメントの結果を注意深く確認、検討してみましょう。

警告

実稼働システム上で脆弱性を悪用する試みを行わないでください。システムとネットワークの生産性と効率に悪影響を与える可能性があります。
脆弱性アセスメントの実施には、以下のような利点があります。
  • 情報セキュリティに事前にフォーカスできる
  • 攻撃者が発見する前に潜在的な不正使用を発見できる
  • システムを最新の状態に維持し、パッチを適用できる
  • スタッフの成長と専門知識の開発を促す
  • 経済的な損失とマイナスの評判を緩和する

1.2.2.1. 方法論の確立

脆弱性アセスメントの方法論を確立すると、脆弱性アセスメント用のツール選択に役立ちます。残念ながら、現時点では事前定義の方法論や業界で承認された方法論はありませんが、一般常識やベストプラクティスを適切なガイドとして活用することができます。
ターゲットは何か? 1 つのサーバーまたはネットワーク全体、およびネットワーク内のすべてが含まれるのか? 会社の外部にいるのか、それとも内部にいるのか? これらの質問に対する答えは、ツールの選択のみならず、ツールの使用方法決定する際にも役立ちます。
方法論の確立についての詳細は、以下の Web サイトを参照してください。