セキュリティテストとは何ですか? 例

セキュリティテストとは何ですか？

セキュリティテスト の一種で ソフトウェアテスト セキュリティテストは、アプリケーションの脆弱性、脅威、リスクを明らかにし、侵入者による悪意のある攻撃を防止します。セキュリティテストの目的は、内部関係者または外部関係者によって情報、収益、評判の損失につながる可能性のある、システム内のあらゆる抜け穴や弱点を特定することです。

セキュリティテストが重要な理由とは？

セキュリティテストの主な目的は、システム内の脅威を特定し、その潜在的な影響を測定することで、脅威を軽減し、システムが安全に機能し続けるようにすることです。セキュリティテストはあらゆるリスクを検出し、開発者がデプロイ前にコードの問題を修正するための実用的な情報を提供します。

ソフトウェアテストにおけるセキュリティテストの種類

オープンソースセキュリティテスト手法マニュアル（OSSTMM）によると、セキュリティテストには主に7つの種類があります。

• 脆弱性スキャン： 自動化されたソフトウェアが、既知の脆弱性シグネチャに基づいてシステムをスキャンします。
• セキュリティスキャン： ネットワークやシステムの脆弱性を特定し、修正策を提案します。手動、自動、また​​はその両方で実行可能です。
• ペネトレーションテスト： 外部の攻撃者が悪用する可能性のある脆弱性を明らかにするために、悪意のある攻撃をシミュレートします。
• リスクアセスメント： 組織内で確認されたセキュリティリスクを分析し、低、中、高の3段階に分類し、対策を提案する。
• セキュリティ監査： アプリケーションの内部検査と OS セキュリティ上の欠陥を検出する。コードの逐条レビューも含まれる。
• 倫理的なハッキング: 組織のソフトウェアを合法的にハッキングしてセキュリティ上の欠陥を暴露すること。これは悪意のあるハッカーの意図とは正反対である。
• 姿勢評価： セキュリティスキャンと組み合わせ、 倫理的なハッキング組織全体のセキュリティ体制を示すためのリスク評価も実施する。

セキュリティテストの実施方法

セキュリティ上の欠陥の修正コストは、発見が遅れるほど劇的に上昇することが広く認められています。 セキュリティテスト 導入後まで待つよりも、最初からSDLCに組み込む方がはるかにコストがかからない。

以下の表は、セキュリティ活動を各SDLCフェーズに対応付けたものです。

セキュリティテスト計画には以下を含める必要があります。

• セキュリティ関連のテストケースとシナリオ。
• セキュリティテスト用に設計されたテストデータ。
• 各セキュリティ活動に必要なテストツール。
• 各種セキュリティツールの出力結果の分析。

セキュリティテストのテストシナリオの例

下記のリストは、典型的なセキュリティテストケースの一例を示しています。

• パスワードは暗号化された形式で保存され、平文で保存されることは決してありません。
• アプリケーションまたはシステムが不正なユーザーをブロックします。
• クッキーとセッションタイムアウトは、すべてのワークフローで検証されます。
• 金融サイトの場合、ブラウザの戻るボタンはログアウト後に保護されたページを表示してはなりません。

セキュリティテストのための方法論と技術

セキュリティテストは、いくつかの確立された手法に従って実施されます。

• タイガー Box: 複数のオペレーティングシステムとハッキングツールがインストールされたノートパソコンからテストを実行。侵入テスト担当者が脆弱性を評価し、攻撃を実行するために使用する。
• : テスターはネットワークトポロジーや技術スタックに関する内部知識を持たず、外部の人間としてシステムを調査する。
• グレー Box: テスターはシステムに関する部分的な情報を受け取ります。このホワイトボックスとブラックボックスの手法を組み合わせたハイブリッド方式は、一部の情報が漏洩している現実的な脅威モデルを再現しています。

セキュリティテストの役割

• ハッカー： コンピュータシステムやネットワークにアクセスする人物を指す一般的な用語。今日では、許可なくアクセスするブラックハットハッカーを指す場合によく使われる。
• クラッカー： システムに侵入してデータを盗んだり破壊したりする。
• 倫理的なハッカー: ハッカーと同じ活動を行うが、所有者の明示的な許可を得て、ping システムを強化するため。
• スクリプトキディ／パケットモンキー： プログラミングの知識が限られている経験の浅い攻撃者が、事前に作成されたスクリプトやツールに頼る。

セキュリティ テスト ツール

1) Teramind

Teramind 内部脅威の防止と従業員監視のための包括的なソリューションスイートを提供します。行動分析とデータ損失防止によりセキュリティを強化し、コンプライアンスを確保し、ビジネスプロセスを最適化します。カスタマイズ可能なプラットフォームは、さまざまな組織のニーズに対応し、生産性の向上とデータ整合性の保護に重点を置いた実用的なインサイトを提供します。

機能と特徴：

• 内部関係者による脅威の防止: データに対する内部関係者の脅威を示す可能性のあるユーザーのアクションを検出し、防止します。
• ビジネスプロセスの最適化： データ駆動型の行動分析を用いて、業務プロセスを改善する。
• 従業員の生産性: 生産性、セキュリティ、コンプライアンスに関する行動を監視します。
• コンプライアンス管理： 中小企業、大企業、政府機関など、あらゆる規模の組織に適した、拡張性の高い単一ソリューションでコンプライアンスに対応します。
• インシデントフォレンジック: インシデント対応、調査、脅威インテリジェンスを強化するための証拠を提供する。
• データ損失防止： 機密データの損失を監視し、防止します。
• 従業員の監視: Tracks従業員の業績と活動。
• 行動分析: 詳細なユーザーアプリ行動データを分析し、洞察を得る。
• カスタマイズ可能な監視設定： 特定のユースケースに合わせて監視ルールを設定できます。
• ダッシュボードの洞察: 包括的なダッシュボードを通じて、可視性と実用的な洞察を提供します。

ロケーション選択 Teramind >>

2) オワスプ

その オープン Web アプリケーション セキュリティ プロジェクト (OWASP) は、ソフトウェアセキュリティの向上に専念する世界的な非営利団体です。このプロジェクトは、さまざまなソフトウェア環境やプロトコルに対する侵入テストのための複数のツールを提供しています。代表的なツールは以下のとおりです。

1. Zed Attack Proxy（ZAP） ―統合型侵入テストツール。
2. OWASP 依存関係チェック ―プロジェクトの依存関係を既知の脆弱性に対してスキャンします。
3. OWASP Web テスト環境プロジェクト ―厳選されたセキュリティツールとドキュメントのコレクション。

3) Wireshark

Wireshark は、以前はEtherealとして知られていたネットワーク分析ツールです。パケットをリアルタイムでキャプチャし、人間が読みやすい形式で表示します。 Wireshark オープンソースであり、Linux上で動作します。 Windows, macOS, SolarisNetBSD、FreeBSD、その他多くのシステムに対応しています。データはGUIまたはTSharkコマンドラインユーティリティで表示できます。

4) w3af

w3af は、Webアプリケーションの攻撃と監査のためのフレームワークです。検出、監査、攻撃という3つのプラグインカテゴリがあり、これらは相互に通信します。検出プラグインは、 URLテスト対象の脆弱性は監査プラグインに転送され、監査プラグインが脆弱性をスキャンし、その後攻撃プラグインが悪用を試みます。

セキュリティテストに関する通説と事実

いくつかの根強い誤解が、セキュリティプログラムの進捗を遅らせています。以下のリストでは、それぞれの誤解と、それに関連する事実を対比させて示しています。

神話#1： 小規模企業にはセキュリティポリシーは必要ありません。
事実： 個人も企業も、セキュリティポリシーを策定する必要がある。

神話#2： セキュリティテストは投資に見合うリターンをもたらさない。
事実： セキュリティテストを実施することで、効率性を向上させ、ダウンタイムを削減し、スループットを最大化するための改善点が明らかになる。

神話#3： 安全を確保する唯一の方法は、システムを電源から抜くことです。
事実： 実践的なセキュリティは、ネットワークを切断することではなく、ビジネス、法律、業界の要件に沿った体制評価から生まれる。

神話#4： ソフトウェアやハードウェアを追加購入することで、事業の安全性を確保できる。
事実： ツールは戦略に取って代わるものではありません。まずは脅威の状況を理解し、それに合った対策を選択しましょう。

よくあるご質問