すべてのペネトレーションテストが同じというわけではありません。ペネトレーションテストの種類は二つの軸で異なります。テスターが事前にシステムをどれだけ把握しているか(black box、white box、grey box)と、環境のどの部分がスコープに入るか(Webアプリ、API、ネットワーク境界など)です。これらを正しく選ぶことが、単なる形式的な作業ではなく、費用対効果が高く本当に役立つテストにつながります。本ガイドは選択肢を解説し、適切な判断を助けます。
要点(TL;DR)
- black box、white box、grey boxは、テスターが最初にどれだけの情報を持って始めるかを表します。grey boxは多くの案件で最も一般的で費用対効果に優れます
- スコープ別のテスト種別には、外部ネットワーク、内部ネットワーク、Webアプリケーション、API、ワイヤレス、ソーシャルエンジニアリングがあります
- 適切な組み合わせは、何を守るか、コンプライアンス要件、予算によって決まります
- どの種類であっても、良いテストはPTESやOWASPなどの認められた手法に従い、優先順位付けされた悪用可能な指摘を提供します
知識レベル別のペネトレーションテストの種類
これは、テスターが開始前にどれだけ知らされるかに関するもので、さまざまな種類の攻撃者を模擬します。
Black Boxテスト
テスターには事前情報がほとんど、あるいはまったく与えられず、実際の外部攻撃者が持つ情報(例:ドメイン名)だけが渡されます。ゼロから独自の偵察を行います。
- 模擬する対象: 内部知識を持たない外部攻撃者。
- 利点: 外部への露出を現実的に把握できる。日和見的な攻撃者が見つけるものをテストする。
- 欠点: 偵察に時間を費やすと、より深い問題のテスト時間が減り、一部の脆弱性はリスクの低さではなく単なる時間不足で見逃される可能性がある。
- 最適: 実世界の外部露出の評価。
White Boxテスト
テスターには完全な情報が与えられます。アーキテクチャ図、ソースコード、認証情報、設定などです。
- 模擬する対象: 知識のある内部者、または最悪の攻撃者知識を想定した徹底的な監査。
- 利点: 最も網羅的なカバレッジ。時間は環境の把握ではなく問題の発見に充てられる。深いロジックやコードレベルの欠陥を発見できる。
- 欠点: 準備と情報共有がより多く必要。盲目的な外部攻撃者の再現度は下がる。
- 最適: カバレッジの最大化、および現実性より徹底性が重要となる重要システム。
Grey Boxテスト
テスターには部分的な情報が与えられます。たとえば標準的なユーザー認証情報と概要は与えられますが、完全な内部情報は与えられません。
- 模擬する対象: すでに足がかりを得た攻撃者、または悪意ある、あるいは侵害された一般ユーザー。
- 利点: 実用的なバランス。時間を効率的に使いながら、通常アカウントからの権限昇格のような現実的な攻撃経路もテストできる。
- 欠点: 完全に盲目でも完全に情報を得た視点でもないが、多くの目的ではこのトレードオフはむしろ強みとなる。
- 最適: ほとんどの案件。grey boxは現実性、カバレッジ、コストのバランスを取れるため、一般的な既定の選択肢です。
スコープ別のテスト
知識レベルとは無関係に、何をスコープに含めるかを選びます。一般的な種類は次のとおりです。
- 外部ネットワークテスト: インターネットに面した境界。公開サーバー、ファイアウォール、露出したサービス。
- 内部ネットワークテスト: ネットワーク内部から、すでに侵入している攻撃者(フィッシング、不正デバイス、悪意ある内部者経由)を模擬し、横方向の移動をテストする。
- Webアプリケーションテスト: 特定のWebアプリのロジック、認証、入力を深くテストする。通常はOWASP手法に沿う。
- APIテスト: APIに焦点を当てたテスト。攻撃対象領域は拡大しており、Webフロントエンドより保護が手薄なことが多い。
- ワイヤレステスト: Wi-Fiネットワークと、機微なシステムからの分離。
- ソーシャルエンジニアリング: フィッシングや口実を用いた手法により人的層をテストする(合意した実施ルールのもとで)。
適切なテストの選び方
- 特定のアプリを守る? grey boxのWebアプリ(およびAPI)テストが通常は最も費用対効果に優れます。
- 外部への露出が心配? まずは外部ネットワークテストを、black boxまたはgrey boxで。
- 内部リスクや封じ込めが懸念? 横方向の移動を評価するため内部ネットワークテストを選ぶ。
- コンプライアンス主導? フレームワークや顧客契約が求める内容を確認する。スコープや独立性を指定するものもある。
- 予算が限られている? grey boxは重要な部分に労力を集中し、純粋な偵察に費やす時間を避けます。
何を選ぶにせよ、認められた手法にこだわってください。専門的なテストは**Penetration Testing Execution Standard (PTES)**やOWASP などの標準に従い、自動スキャンを超えて脆弱性を連鎖させ、実際の攻撃経路を試み、概念実証(proof-of-concept)のエクスプロイトと優先順位付けされた改善ロードマップを提供します。
重要ポイント
- 知識レベル別のペネトレーションテストの主な種類はblack、white、grey boxで、grey boxが多くのニーズに対する実用的な既定です。
- スコープ(外部、内部、Webアプリ、API、ワイヤレス、ソーシャルエンジニアリング)は、知識レベルとは別の選択です。
- 何を守るか、コンプライアンス要件、予算にテストを合わせましょう。
- 良いテストはPTES/OWASPに従い、単なるスキャナーレポートではなく、優先順位付けされた悪用可能な指摘を提供します。
ニーズに合ったテストを手に入れる
スコープと知識レベルの選択は、専門家の意見があるとより簡単です。ペネトレーションテストサービス は、Webアプリ、API、ネットワーク境界にわたってPTESとOWASPの手法に従い、概念実証のエクスプロイトと優先順位付けされた改善ロードマップを提供します。初めてテストを依頼する場合は、英国でのペネトレーションテストに期待できること のガイドが、プロセス、期間、費用を順に説明します。
よくある質問(FAQ)
black box、white box、grey boxのペネトレーションテストの違いは何ですか? テスターが事前にどれだけ知っているかです。black boxは事前情報がほとんど、あるいはまったくない(外部攻撃者のような)状態、white boxはコードと設定への完全なアクセス(最大の徹底性)、grey boxはユーザーログインのような部分的な情報(実用的な中間)を意味します。
どの種類のペネトレーションテストが必要ですか? ほとんどのアプリでは、grey boxのWebアプリおよびAPIテストが、現実性、カバレッジ、コストの最良のバランスを提供します。外部露出には外部ネットワークテスト、内部リスクには内部テストです。正しい答えは、何を守るかとコンプライアンス要件によって決まります。
grey boxテストはblack boxより優れていますか? 一概にそうではありませんが、テスト時間を効率的に使いつつ、権限昇格のような現実的な攻撃経路も実行するため、最も一般的な既定の選択肢です。black boxは純粋な外部露出に対してより現実的で、white boxは全体として徹底しています。
外部と内部のペネトレーションテストの違いは何ですか? 外部テストは、外部の攻撃者が行うように、インターネットに面した境界を狙います。内部テストは、すでにネットワーク内部にいる攻撃者を模擬し、横方向の移動と足がかりがどこまで広がり得るかに焦点を当てます。
ペネトレーションテストは標準的な手法に従いますか? 従うべきです。専門的なテストはPenetration Testing Execution Standard (PTES)やOWASPなどの認められた標準に従い、場当たり的なスキャンではなく一貫した再現可能なカバレッジを確保し、優先順位付けされた悪用可能な指摘を生み出します。
コメント