いくらセキュリティにコストを掛け、安全性に配慮していたとしても、多種多様な攻撃者からの不正アクセスを完全に防ぎ切れる保証はない。
「企業は重要なインフラを守り、防御の抜け穴を見つけ、深刻なデータ侵害を防ぐために、セキュリティプログラムに数百万ドルを投じている。ぺネトレーションテストはこれらのプログラムにおけるシステムの弱点と欠陥を識別する、最も有効な方法の1つだ」。「ぺネトレーションテスターは、ハッカーが組織のセキュリティを侵害し、組織全体に損害を与えるであろう手法を識別することができる」――。
本書「実践 Metasploit」は、組織のセキュリティに対する認識を無視し、そのシステムの弱点をシビアに発見、証明するペネトレーションテストの方法を詳細に解説した作品である。タイトルにもあるように、情報セキュリティの専門家らの間で広く使われているオープンソースプラットフォーム「Metasploit Framework」をどのように活用すれば、システムの脆弱性を正確に検知できるのか、その「基礎から、エクスプロイトの高度なテクニックに至る全て」までを無理なく理解できるよう構成している点が特徴だ。
具体的には、「ぺネトレーションテストの基本」「Metasploitの基本」から「脆弱性スキャン技術の活用法」「アンチウイルス回避テクニックの基礎概念」「ソーシャルエンジニアリング攻撃でのSocial-Engineer Toolkitの使い方」「独自エクスプロイトの作成」など、順を追って段階的にあらゆる知識、技術を学べる構成としている。
特に本書が一貫して主張するのがペネトレーションテスターの社会的責任の重さだ。 というのも、テスターは、「企業の最も重要なリソースを取り扱う。間違った行動を取れば、現実世界に悲惨な結果をもたらし得る領域にアクセスする」。従って「たった1つのパケットを間違った場所に送り込むだけで工場は休止し、1時間当たりの損失は数百万ドルにもなる。適切な担当者への報告を怠れば、地元警察とバツの悪い、みっともない会話を交わす羽目になる」ためだ。
また、ぺネトレーションテストには、「企業のITまたはセキュリティチームに、企業システムを案内」してもらった上で、ブロックされる心配なしに攻撃を仕掛ける「公開テスト」と、攻撃者の行動を模倣して設計し「企業が知らないうちに実行」する「秘密テスト」という2種類のテストがある。これらを通じて、「組織がまず考えない」脆弱性を発見するものだけに、そのスキルを使えば自らが攻撃者にもなれてしまう。この点で、「悪意を持たない」「自分の行動が招く結果を考慮する」「違法行為を行えば、逮捕、刑務所行きである」として「倫理観」を強調するなど、スキルだけではなく、技術者としてのやりがいと社会的責任の重要性をバランスよく説いている点が特徴だ。
近年は、仮想化、クラウドの浸透などにより、企業のシステムインフラはますます複雑化している。特に問題なのはビジネス上の要件に応じてシステムを増改築していった結果、「陳腐化した過去の技術と、新たに増え続ける多種多様なシステム、ソフトウェア、プロトコルが混在し」、「単なるパッチ管理やファイアウォール、ユーザー教育」だけでは防ぎきれないセキュリティホールがどこに存在するのか、ますます分かりにくくなっていることだ。
この点について、本書では「ずさんなシステム管理とやっつけ仕事の実装が作り出す問題が、組織に大きな脅威を突きつける一方、管理者が実施すべき大量のタスクのもとで、解決方法は放置されたままになっている」と、システム管理者にとってはやや耳の痛い指摘もしている。だが言うまでもなく、いくらセキュリティにコストを掛け、安全性に配慮していたとしても、多種多様な攻撃者からの不正アクセスを完全に防ぎ切れる保証はない。
その点、攻撃者の視点でテストを行うペネトレーションテストについて学ぶことは、セキュリティ上のありがちな弱点や盲点を知ることになり、運用管理や開発の在り方にも有益なヒントをもたらしてくれるのではないだろうか。専門的な内容ではあるが、ユーザー部門の人も含めて、“組織にとっての脅威”を実感する上で有益な一冊と言えるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.