ペネトレーションテストとは？セキュリティ力を高めるツール20選

コンピューターシステムのセキュリティ強化のためには、まず敵を知ることが必要です。

最近は攻撃者視点での安全性評価の重要性が広く認知され、外部からシステムへの攻撃に備えて「ペネトレーションテスト」を行う企業が増えています。

今回はペネトレーションテストの概要や費用、実施するためのツール&サービスを20個ご紹介します。脆弱性診断との違いも表を使って解説しているので、Webサイトのセキュリティ対策を向上させたい企業の方は参考にしてみてください。

ペネトレーションテスト（侵入テスト）とは？

「ペネトレーションテスト」とは、コンピュータシステムやネットワークなどのセキュリティホールを発見するために行うテストです。ペネトレーション（=penetration）は「貫通」、「侵入」などの意味を持ちます。

実際に自社のシステムやネットワークに侵入し、さまざまなサイバー攻撃手法を講じます。発見した脆弱性に対して実際に攻撃を行うため、システムの脆弱性によって起こりうる不正アクセスや情報漏洩のリスクが明らかになります。

またペネトレーションテストは、攻撃者がシステムの外部から攻撃してくることを想定した「外部ペネトレーションテスト」と、システムの内部にすでに攻撃者が侵入していることを想定した「内部ペネトレーションテスト」に分類されます。

どちらか一方のペネトレーションテストを採用しているツールもあれば、複合的に組み合わせているツールもあります。自社のセキュリティのどこに脆弱性がありそうか事前に洗い出しておくと良いでしょう。

脆弱性診断（セキュリティ診断）との違い

脆弱性診断は、専用のツールで自社のシステムをスキャンして、潜在的あるいは既知の脆弱性を調査します。ペネトレーションテストのように欠陥の突破を目的としておらず、脆弱性の検出に焦点を当てているのが特徴です。検出されたシステムの脆弱性をもとに対策措置を実施し、安全性の向上を図ります。

脆弱性診断ではシステムに模擬攻撃を実施しないため、発見された脆弱性がどの程度のリスクを伴うのか、危険度を判断するのが難しいです。

脆弱性診断もホワイトボックステストとブラックボックステストの2種類に分類されます。

ホワイトボックステストはシステム内部の論理構造を把握し、プログラムが想定通りに動いているかを確認するテストです。プログラムの外部仕様には着目せず、システム内部の命令や、分岐が正しく動作するかをテストします。

一方でブラックボックステストは、入力データと出力データの結果だけに着眼し、それらが正しく処理されているかを調べるテストです。システムの内部構造は考慮せずに、欲しい値が出力できているかのみを確認します。

ペネトレーションテスト実施までの流れ

企業のサービスを利用する場合

ペネトレーションテストサービスは企業によって異なりますが、一般的に以下のフローで実施されます。

1. ヒアリングと診断準備（約1ヶ月）

ネットワーク環境構成、個人情報・機密情報の保管状況、ログの取得状況などをヒアリングし、最適な診断範囲と疑似攻撃のシナリオを決定します。

おおむねの費用もこの段階でわかるでしょう。企業によるペネトレーションテストサービスの費用は50万円〜2000万円を超えるものまでと幅広いです。事前に出せる予算を決めておくことをおすすめします。

2. 疑似攻撃診断の実施（1ヶ月～2ヶ月）

シナリオに沿って疑似攻撃による診断を実施し、結果が記録されます。

主にホストやデバイスの不安全な設定、暗号化や認証の不備、コードおよびコマンドインジェクション、セッション管理などに内在する脆弱性に対してサイバー攻撃が行われます。

3. データ分析（約1ヶ月）

診断結果および顧客の環境のログをもとに攻撃に対する問題点を分析し、評価がなされます。

4. 報告（1〜2時間）

問題点を報告書にまとめ、報告会で発見した問題点について解説されます。報告書のサンプルをWebサイトに載せている企業もあるので、事前に確認してみると良いでしょう。

5. アフターサポート

納品日から一定期間、報告書や診断結果に関する疑問を解消するためのサービスです。

セキュリティ対策は、継続的に実施していく必要があります。電話サービスの他にも再診断、定期診断、その他セキュリティソリューションの提案をしてくれる企業もあります。

アフターサポートの実施有無や内容はは企業によって異なるので、必要な場合は事前に確認してみてください。

ペネトレーションテストを行えるツール＆サービス20選

個人でペネトレーションテストができる無料ツール

1. OWASP Zed Attack Proxy (ZAP)

Webアプリケーション診断ツールの王道。無料にもかかわらず、45,000個以上の診断項目を自動でレポート形式にしてくれます。初心者にも使いやすく、脆弱性の検知度が高いのが魅力です。

指定したURLから脆弱性診断対象のリンクを辿る機能や、その結果取得したURLに対し自動で脆弱性診断を行う機能などがあります。

メニューの日本語対応、シンプルな操作での自動実行機能などが備わっているため、ペネトレーションテストに不慣れな初心者でも比較的容易に利用できます。

The Zed Attack Proxy (ZAP)

2. Metasploit

攻撃コードの作成、実行を行うオープンソースのペネトレーションテストツールです。

無料版（Metasploit Community）と有料版（Metasploit Pro）があります。

『Metasploit Community』はネットワーク攻撃を安全にシミュレートしたり、システムの基本的な悪用を確認したい学生や中小企業向けです。一方『Metasploit Pro』は、ソーシャルエンジニアリング機能やネットワークセグメンテーションテストなど、高度なペネトレーションテスト機能を利用したいITセキュリティチーム向けとなっています。

それぞれ搭載されている機能が異なるので、公式サイトで確認してから利用してください。

Metasploit

3. Kali Linux

ペネトレーションテストツールや解析ツールを備えた無料のディストリビューションです。

公開中のポートやサーバーを調べる「Nmap」、パケットを解析する「Wireshark」、Webサイトに潜む脆弱性を調べる「Brup Suite」といったツールが無料で充実しています。

多機能であるがゆえに、使いこなすのはやや難度高めです。

Kali Linux

4. skipfish

『skipfish』はWebアプリケーションに特化した無料のペネトレーションテストツールです。

クローリングでアクセス可能なURLに対してさまざまなパターンで侵入を行ったり、特定のキーワードや拡張子を組み合わせて問題の発生しそうなURLを生成、そこにアクセスをすることで安全性をテストします。対象とするWebサイトにHTTPでアクセスして調査するため、対象を特定のWebアプリケーションに限定せず、どんなWebサイトに対しても利用で来ます。

調査結果がHTML形式のレポートとして出力されるのも便利です。

skipfish

ペネトレーションテストサービスを提供する企業

5. IERAE SECURITY（イエラエセキュリティ）

『IERAE SECURITY（イエラエセキュリティ）』はWebアプリケーション、iOS・Androidアプリなどのセキュリティ診断を行うセキュリティ企業です。

経産省主催の「CTFチャレンジジャパン」や、世界最大のハッキングイベントである「DEFCON CTF」にて好成績を残したホワイトハッカーチームのメンバーが在籍しています。

その高精度のハッカー技術は、多くの大企業がペネトレーションテストを依頼するほどです。診断は攻撃者の視点で実際に通信を行うブラックボックステスト方式で行われます。

公式サイト

6. Core Impact

『Core Impact』は組織に対し強力な侵入攻撃を実施することにより、最も緊急性が高いサイバーリスクを特定するペネトレーションテストツールです。

『Core Impact』で提供されているペネトレーションテスト機能は以下の5つ。

• ネットワークペネトレーションテスト
• ウェブアプリケーションテスト
• モバイルデバイスペネトレーションテスト
• ワイヤレスネットワークペネトレーションテスト
• エンドユーザーへのフィッシングメールテスト

『Core Impact』に搭載されている「Rapid Penetration Test （RPT）」 を利用すれば、ペネトレーションテスト経験の少ない技術者でも、サイバー攻撃テストが可能。事前調査から攻撃実行までが自動化されているため、包括的なペネトレーションテストを容易に実施できます。

時間をかけずにペネトレーションテストを行いたい人におすすめのツールです。

core impact

7. sprout（スプラウト）

『sprout（スプラウト）』はフィルタリング回避、パスワード解析、辞書攻撃等のアプローチでシステムへの侵入を試してくれるペネトレーションテストサービスです。

経験豊富なコンサルタントが、環境や重点的に守るべき資産を考慮してどんなプランがユーザーのニーズに合うか提案してくれます。

ペネトレーションテストを行う前に手厚いヒアリング調査があるので、何から初めていいか分からない方はぜひ相談してみてください。

公式サイト

8. LAC

『LAC』はセキュリティ技術者がインターネットを介して、ITシステムに対する疑似攻撃を実施します。

セキュリティ対策の有効性を確かめたり、被害範囲の想定を行うことでシステム全体の耐性を確認します。

さらに社員への標的型攻撃メール訓練、カスタム疑似マルウェアを配置したAPT先制攻撃など、脆弱性の存在や社員の意識確認などを並行して調査します。

公式サイト

9. MBSD（三井物産セキュアディレクション）

年間数千IPに対する複数の診断案件を通じて得たノウハウを蓄積している『MBSD』。

日々実用性の高い攻撃コードの収集・実証を行い、会社のツールに組み込むことで、独自の手法にてテストを実施します。高精度のペネトレーションテストを実施したい企業におすすめです。

公式サイト

10. セキュリティイニシアティブ

国際基準やメソドロジーに準拠したペネトレーションテストに対応しています。

英文での報告書作成も行なっているため、海外のクライアントに提示する際に便利です。

またペネトレーションテスト報告書は、責任者の方から開発者まで幅広くリスク判断が出来るように工夫されています。

公式サイト

11. エレシークVA

6万超におよぶ診断パターンが強みの『エレシークVA』。診断ツールとセキュリティエンジニアが手動で行なうハイブリッド診断を行なっており、他社のセキュリティ診断サービスでは発見が困難な脆弱性も高い確率で検出してくれます。

診断項目は大きく分けて7つです。

• クライアント側での攻撃
• コマンドの実行
• 情報漏洩
• 認証
• 承認
• ロジックを狙った攻撃
• 異常検出

本格的にペネトレーションテストを実施したい方はぜひ。

公式サイト

12. NRI SECURE

インターネット経由でユーザーのOA端末を操作可能か、疑似マルウェアを利用してペネトレーションテストを実施。

どんな手段でどんなファイルを社外に持ち出せるかを実際に試し、マルウェア感染後のシステム耐性がわかります。

料金は高くなりますが、PCI DSS準拠・維持の支援を通じて得たサービス提供ノウハウがあるので安心してペネトレーションテストを行うことができます。

公式サイト

13. FireEye（ファイア・アイ）

『FireEye』は実際のサイバー攻撃者と同じツール、戦術、手順（TTP）を用いてペネトレーションテストを実施します。

APT攻撃（Advanced Persistent Threat： 高度で持続的な標的型攻撃）グループの行動パターンを熟知した専門家がヒアリングから実行、分析まで携わります。最新のサイバー攻撃者の動向を踏まえてペネトレーションテストを実施してくれるのが魅力です。

外部・内部ペネトレーションテストの他にも、Web・モバイルアプリケーション診断や組み込み機器およびIoT診断など、豊富なセキュリティ対策が提供されています。

公式サイト

14. Synopsys（シノプシス）

『Synopsys』は「Essential」と「Standard」の2種類のペネトレーションテストを提供しています。

「Essential」は、探索的なリスク解析（自動化の停止、複雑な認証など）に焦点を当てており、自動スキャンと手動テストを行いWebシステムの脆弱性を特定します。

「Standard」は、ビジネス・ロジック・データの妥当性検証やインテグリティ・チェックなどを確認するテストです。

公式サイト

15. NetAgent（ネットエージェント）

『NetAgent』はIoT製品専門のペネトレーションテストサービスを提供しています。

所属するホワイトハッカーは、CTFチャレンジジャパン2012全国大会優勝をはじめ、数々のハッキング技術コンテストで優秀な成績を納めているため、高い技術力や豊富なノウハウが期待できます。

IoT機器のセキュリティに不安がある方におすすめです。

16. SKY ARCH（スカイアーチ）

複数の脆弱性を組み合わせて攻撃シナリオを構成し、システムへの直接アクセスや権限昇格、データベースからの情報取得などの脆弱性を診断します。その後、フィルタリング回避・パスワード解析・辞書攻撃などの攻撃ツールを駆使してペネトレーションテストを行います。

日数を限定し実施するため、サイトの構成（リクエスト数）には関係なく一律の費用で実施できるのが魅力です。

公式サイト

17. SecureOWL

『SecureOWL』はまずネットワークの脆弱性診断を行います。稼働中のシステムに負荷をかけることなくサーバーのOSやサービスをツールを使って確認します。

エンジニアによる脆弱性の正誤判断が終わったら、ペネトレーションテストに移ります。パスワード推測調査や擬似攻撃を行い、エンジニアが手動でサーバーへの侵入を試みるテストです。

公式サイト

18. Five Drive

『Five Drive』で実施されるペネトレーションテストの内容は以下のとおりです。

『alpha net』は、調査・攻撃・達成を1サイクルとしてペネトレーションテストを実施するサービスです。サイトの規模に関係なく、機能レベルなどから30リクエスト程度を選定してリスク評価を行うため、安価で分かりやすい料金形態になっています。

公式サイト

20. Asgent（アズジェント）

Webアプリケーションやとネットワークの双方の観点からペネトレーションテストを実施するサービスです。WebアプリケーションではクロスサイトスクリプティングやSQLインジェクション、セッション管理などの項目の診断が行われます。ネットワークではバッファオーバーフロー等の検査項目があります。

公式サイト

まとめ

ペネトレーションテストは、システムが運用段階に移る前に一度だけ行えばいいというものではありません。

外部からのサイバー攻撃は日々進化しているため、セキュリティ対策を継続的に見直し、不具合があったら改善していくというサイクルを回すことが重要です。

ペネトレーションテストを定期的に実行し、自社のシステムを守っていきましょう。

 

こちらもおすすめ！▼

Webサーバー これだけはやっておくセキュリティ対策【ディレクターズ×GIG コラボイベント前編】

Workship MAGAZINE

カオスエンジニアリングとは？わざと障害を起こして復旧対処する、システムの”筋トレ”

Workship MAGAZINE

甘い罠がセキュリティを救う!? ハニーポット導入のメリット/デメリット

Workship MAGAZINE