【AWSペネトレーションテスト】ペネトレーションテストについて詳しく解説

AWSペネトレーションテストとは？

AWSにおけるペネトレーションテストとは、セキュアの評価や脅威の侵入テストなど様々な観点からテストを実行します。

ペネトレーションテストのポリシーに従ってAWSアカウントのリソースに対し侵入テストやセキュア評価のテストを実行する事が可能です。ペネトレーションテストをする際にAWSからの承認の有無は必要ありません。

また、他のペネトレーションテストをする場合は、他の指針に従って実行をするようにしましょう。さらには、所持していないAWSアカウントのインフラストラクチャーのセキュア評価は実行が不可能になります。

そもそもペネトレーションとは何なのか？

ユーザーのインターネット上で稼働しているシステムなどに対して脆弱性を突いて侵入またはセキュア上の脅威を引き起こし要因、対策を絞り出すサービスです。

ペネトレーションテストを行う事で事前に脅威の対策や侵入された際に対処が可能になります。

ペネトレーションテストの許容範囲はどのくらい？

ペネトレーションテストの範囲としては、侵入テスト、セキュリティの脆弱性診断などが挙げられます。

標的の機器などに対して攻撃者が侵入をして、多様な手段で攻撃に至るまでの情報を集めます。

インターネットから企業に関する情報収集をしたり、ある特定の人物になりすまし情報収集を行ったり、脆弱性のある企業などに侵入して目標のシステムに攻撃を実行する事もあります。

この様な攻撃に順応できるよう事前にペネトレーションテストを行い対策を練っていきます。

ペネトレーションテストの主なフローについて

ペネトレーションテストには、3段階ほどのフローがあります。

詳細は次で紹介いたしますが、「事前準備、脆弱性の調査、ペネトレーションテスト」といった作業のフローになっています。

事前準備

ペネトレーションテストを行う上で必要な情報を収集します。ユーザーからの情報提示やミーティングでの対面収集もする場合があります。

ネットワーク情報やシステム構成、開発時の指示書、サイトマップなどをユーザーに用意していただくとよりスムーズに行う事ができます。

脆弱性の調査

システムなどに対する脅威の要因になりうる脆弱性の調査を行います。

前段階で発見した脆弱性の中で、システム内部に侵入して要因を洗い出し専門ツールを利用したり重点的な調査と、専門のエンジニアによる徹底的な調査を行います。

ペネトレーションテスト

事前調査、脆弱性の調査で得た情報を元にペネトレーションテストを実行していきます。洗い出された脆弱性に関する脅威などを特定して、様々な攻撃手法を使いながら調査を行います。

また、異なる脆弱性と掛け合わせる事で別の脆弱性を作り出し、より精度の高い調査を行います。

ペネトレーションの種類

ペネトレーションテストは、2つの種類に分けられています。

外部ペネトレーションテストと内部ペネトレーションテストと二分されており、セキュリティ境界線に基づく外部テスト、内部テスト（フェールセーフなどの内部テスト）に分類されています。

近年では、外部テストだけではなく内部テストも重要視されています。

ペネトレーションテスト外部対策について

外部ペネトレーションでは、インターネットからアクセスが可能な機器やシステムに対するテストを行います。

公開サーバーや機器に対する外部からの脅威は、増えてきているので、重要なテストになります。

ペネトレーションテスト内部対策について

内部ペネトレーションテストでは、外部セキュリティを搔い潜ってきた脅威に対して内部で阻止する為のテストになります。

外部からアクセスが不可能なシステムに対するテストになり、外部から侵入をされた際に内部犯行を想定したテストなどを行います。

テストの対象としては、DBサーバーやアプリケーションサーバーなどが挙げられます。

ペネトレーションの主な手法について

ペネトレーションテストの手法は2つあり、ホワイトボックスとブラックボックスの2種類でペネトレーションテストを行います。

ペネトレーションテスト手法のホワイトボックス、ブラックボックスですが、一般的にはブラックボックスでテストを行う事が多いです。

ですが、テスト効率を考えるとホワイトボックスの方が生産性が高く時間も短縮できるので、ペネトレーションテスト指針では、ホワイトボックステストを推奨しています。

また、近年ではホワイトボックスとブラックボックスの中間にあたるグレーボックスが注目を集めています。

ペネトレーションテストの型式について

ペネトレーションテストには、大きく分けて4種類の形式のテストがあり、機器やシステムに応じて実施しています。

「シナリオ型・脅威ベース型・PCIDSS型・組み込み型」と4つに分類されています。

シナリオ型

ペネトレーションテストの目的に応じて、予想される攻撃シナリオを複数想定してテストを実行します。

シナリオ型は、侵入の可否をテストするだけではなく、侵入から認証情報の奪取、内部侵入、クライアントやサーバーの権限昇格、攻撃の目的を達成する為には、複数の攻撃パターンから構成して行うのがシナリオ型です。

対象としては、ソフトウェア製品やリモート環境などが挙げられます。

脅威ベース型

脅威ベース型では、戦略的にテストを行う型式です。

少しシナリオ型に似ていますが、さらに戦略的にアプローチを行い、脅威やリスクベースでテストを行っており、テスト対象には、金融システムなどが主な対象になっています。

余談ではありますが、脅威ベース型と必要性を唱えたのは英国の金融機関だと言われています。

PCIDSS型

PCIDSS型とは、ペネトレーションテストの指針に沿って実行するテストです。PCIDSSでは、守るべき情報資産が明確に定められているので、それに従い実施する事が求められています。

PCIDSS（PCIデータセキュリティスタンダード）とは、クレジットカードの情報や取引情報を保護する為のグローバル標準の事を指します。

組み込み型

今までの型式とは、若干異なり模擬のクラッキングを組み込み型では行います。

組み込み型は、ペネトレーションテストというよりも模擬のクラッキングとも言われており、組み込み型での脅威はバックドアになりえる脆弱性の存在です。

また、物理的にも入手が可能なリバーズエンジニアも脅威となります。ペネトレーションテストの対象としては、組み込み型の機器やIoT機器などが挙げられます。

AWSとは何？

AWSとは、Amazonが展開しているクラウドサービスの事を指します。

本記事では、AWSペネトレーションテストについて紹介をしていきましたが、そもそもAWSとは何なのか簡単におさらいをしていきます。

AWS（AmazonWebServices）は、Amazonが展開している100以上のクラウドサービスの総称になります。

AWSを導入する事により、従来のオンプレミスとは異なりサーバー機器の購入や設置場所の確保がなくなるので、コスト削減や時間短縮になる為、多くの企業で注目を集めています。

ペネトレーションを理解して活用・導入をしよう

AWSペネトレーションテストでは、様々なテスト方があります。

外部ペネトレーションテスト、内部ペネトレーションテストで機器やシステムに応じて異なるテストを実行してあらゆる脅威から守る為に試行錯誤で開発・実行がなされています。

ホワイトボックスとブラックボックスとでは、ホワイトボックスの方が生産性が高く高品質なテストが行えるのでペネトレーションテスト指針では、推奨されています。

ペネトレーションテスト型式では、「シナリオ型、脅威ベース型、PCIDSS型、組み込み型」とシステムの内容や利用用途によって異なるペネトレーションテストを行おり、これもIT化が進んでいるから必要不可欠なテストと言えるでしょう。

今後も、IT化が進む上でペネトレーションテストは欠かせないシステムです。