脆弱性の査定は2つのタイプに別けることができます。 外部からのルックインと内部のルックアラウンド です。
外部からのルックイン脆弱性査定の実施とは、外部からシステムを感染させようとすることです。 企業にとっての外部者になり、クラッカーの視点でとらえます。 クラッカーが見るところをさがします — 公的にルート可能なIPアドレス、 DMZにあるシステム、ファイアウォールの外部インターフェース、その他。
内部のルックアラウンド脆弱性査定の実施とは、内部者となり信頼できるステータスを 与えられるので優位な立場になります。自分を含めた同僚がシステムにログオンしている 視点からとらえることになります。プリントサーバー、ファイルサーバー、データベース、 その他リソースなどを見ます。
この2つの脆弱性査定には顕著な違いがあります。 企業の内部者としての査定は特権を与えられることになります — 外部者と比べて優位になります。今日でもいまだほとんどの企業や組織では、 侵入者を防ぐというような方法でセキュリティが設定されます。 ところが、企業や組織の内部の安全を確保すると言う方法はほとんど採られていません (部門別ファイアウォール、ユーザーレベルのアクセス制御、 内部リソースの認証手続き、 その他)。概して、ほとんどのシステムは企業に対して内部者となるので 内部ルックアラウンドのときにはより多くのリソースがあります。 外部者として自分を設定したら、直ちに信頼できないというステータスが与えられます。 一般的に、外部から利用可能となるシステムとリソースは非常に限られています。
脆弱性の査定と侵入力テストの違いを考えてみます。 脆弱性の査定を侵入力テストへの最初のステップと考えます。 査定で拾い集めてきた情報はテストをするときに使われます。 査定が穴開きや可能性のある脆弱性をチェックするのに対し、 侵入力テストは実際にこれらの調査結果に対して不正アクセスを試みます。
ネットワークのインフラストラクチャ査定は動的なプロセスです。 セキュリティは、情報と物理的の両方とも、動的です。 査定の実施は、false positive と false negative で表される概要を表示します。
セキュリティ管理者の仕事は使用するツールや自分の知識にかかっています。 現在、利用可能な査定ツールは何でも利用して、システムで実行します。 少なくともいくつかの false positive があることがほぼ品質保証になります。 プログラムの欠陥かユーザーの誤りによるものか関係なく、結果は同じです。 ツールは、現実には存在しない(false positive)脆弱性を発見するかもしれません。 また悪くすると、ツールが実際に存在する(false negative)脆弱性を発見しないかもしれません。
さて、脆弱性の査定と侵入力テストの違いが明確になりました。 査定の調査結果でいきなり侵入力テストをする前に、 慎重に見直しを行なうようにした方がよいでしょう。
![]() | 警告 |
---|---|
業務リソース上で脆弱性への不正アクセスを試みるのは、 システムとネットワークの生産性と効率性に対して逆効果となり得ます。 |
以下の一覧は脆弱性の査定を実施することで利点となることをいくつかあげています。
情報セキュリティに先を見越した焦点を置く
クラッカーが見つける前に可能性のある不正アクセスを発見
概して、結果的にシステムが常に更新されパッチがあてられている
スタッフの専門的知識の発達を促進、援助する
財政的な損失と消極的なパブリシティを緩和
脆弱性の査定に関するツール選択を容易にするために、 脆弱性の査定体系を確立することが役に立ちます。 残念ながら、事前設定された体系または産業認可を受けた体系はいまのところありません。 しかし、常識と実践のくり返しが十分な指針となっていくでしょう。
対象とは何ですか? 1つのサーバーを対象としているのでしょうか。 それとも、ネットワーク全体とネットワーク内のすべてのものを対象としているのでしょうか。 査定などを行なう人は企業に対して外部者ですか、内部者ですか? これに対する答は、どのツールを選べばよいのかを決める手助けになるばかりでなく、 使用方法などを決めるのにも役立つので重要です。
体系の確立についての詳細は以下のウェブサイトを参照してください。
http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology Manual (OSSTMM)
http://www.owasp.org/ — The Open Web Application Security Project