-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
こんにちは、広報の光賀です。
昨今、標的型攻撃やランサムウェアなどによる企業へのサイバー攻撃の被害が後を絶ちません。さらに、IoT技術を活用したスマートホームやスマートシティ、コネクティッドカー、Webサービス、オンラインゲームなどへのサイバー攻撃も増加しています。
攻撃対象が多岐にわたる中、重要な情報やサービスをどのように守るかが組織の課題です。高度化・多様化するサイバー攻撃への対策の1つとして、疑似的な攻撃でセキュリティの問題点を洗い出す「ペネトレーションテスト」があります。
これは、自組織のシステムやサービスがサイバー攻撃を受けた場合の攻撃耐性や、攻撃による侵害の影響範囲を確認できるものです。実際のサイバー攻撃を想定した効果的なセキュリティ対策を立てられるため、今後の需要が見込まれる技術でありながら、具体的な内容を学べる機会はあまり多くないように思います。
そこでラックセキュリティアカデミーでは、ペネトレーションテストをハンズオンで体験しながら学べる「ペネトレーションテストハンズオンコース」を新設しました。本番開催を前に、ラック社員を対象としたプレ開催を実施したので、研修の概要と参加した所感をご紹介します。
ペネトレーションテストをハンズオンで学べるコース
この研修は、社内ネットワークなどの情報システムに対するペネトレーションテストを実施するために、必要な知識とスキルを身に付けることを目的として作られました。ハンズオンが含まれているためさまざまな攻撃手法を学べるほか、ペネトレーションテストに関わる前提知識や周辺知識を学ぶこともできます。
主な受講対象は、以下のような方を想定しています。
- ペネトレーションテストの内製化を検討している方
- サイバー攻撃技術に関する知見を深めたいブルーチーム※関係者
- サイバー攻撃技術に関する知見を深め、自組織のセキュリティレベル向上を図りたい情シス担当者やIT技術者
- 脆弱性診断などを外注する立場の方で、ペネトレーションテストがどのようなことを行うサービスなのか知りたい方
※ セキュリティ監視・運用を行うSOCやインシデント対応チームであるCSIRTなど
全体の難易度は中級から上級で、Windows OSやネットワークの知識、Windows・Linuxのコマンド操作、Active Directoryに関する知識が必要です。このコースは対面で行われ、ペネトレーションテストの概要を学んだ後に、研修用ネットワークに対する攻撃をハンズオンで体験します。さらに、報告書の読み解き方も説明があります。全体の所要時間は、休憩を含めて約7時間半でした。
それでは、受講した所感を交えて各パートをみていきましょう。
ペネトレーションテストの概要
まずは、ペネトレーションテストに関する説明から始まります。
サイバー攻撃を再現した疑似攻撃を用いて、対象システムに対して「攻撃者の目的」が達成できてしまうか実証するテストを、ペネトレーションテストと呼びます。ペネトレーションテストでは、始めに「機密情報の窃取」や「重要データの改ざん」など、具体的な攻撃者の目的を定めて、そのゴールを満たすための攻撃シナリオを設定します。その攻撃シナリオを元に、ペネトレーションテストを担当するエンジニアが攻撃者の視点で調査や疑似攻撃を行います。
このようなペネトレーションテストの概要に加え、脆弱性診断との違い、実施の流れや注意点、組織を狙う脅威についても解説があります。さらに、具体的な攻撃シナリオも図版を交えて分かりやすく整理されています。
実践演習(ハンズオン)
このコースの目玉でもあるハンズオンでは、研修用ネットワーク環境を用いてさまざまな攻撃パターンを実践します。
まずは端末がマルウェア感染したことを想定して、標準的な標的型攻撃の流れをなぞり、最終的にドメイン管理者権限の奪取を試みます。実際のテストでは標準的な手法だけでドメイン管理者権限の奪取ができないこともあるため、そういった場合を想定して別の複数の手法でドメイン管理者権限を奪取するパターンも試みます。
実際にハンズオンが始まると、皆もくもくと作業を進めていきます。手応えのある演習も多く気が抜けませんが、わからないことは教室を巡回している補助講師に気軽に質問できます。参加者の実践時間の後には講師の解説があり、質疑応答もできます。講師の専門的な解説に真剣に聞き入る参加者の姿が印象的でした。
報告書と対策の提案
実際にペネトレーションテストを実施すると、最後に実施報告書を作成します。その報告書に記載する内容や読み解き方を説明します。さらに、検出された脆弱性への対策を考えるアプローチも紹介します。
ペネトレーションテスト実施後、多くの場合で何かしらの脆弱性が発見されます。しかし、脆弱性をゼロにすることはとても難しいです。そのため、可能な限り多くの脆弱性を対策し攻撃に備えられるか、万が一の侵入を許してしまっても攻撃を早急に検知して対応できるかが重要です。
参加者と講師の声
参加者に、参加した目的と感想をヒアリングしたのでご紹介します。また、講師を務めた戸谷と小松からもおすすめポイントを聞きました。
参加した目的
ハンズオン体験&スキルアップ
- ペネトレーションテストに興味があり、ハンズオンで実際の手順を体験したかった。
- ペネトレーションテストとセキュリティ診断の違いを具体的に学びたかった。
- 普段はアプリケーション開発を行っており、プラットフォーム側の脆弱性について詳細なイメージが薄かったので、ハンズオンで自分の手を動かすことで脅威を具体的に感じ取りたかった。また、抽象的な観点からアプリ開発におけるセキュリティ強化に生かせる点を学びたかった。
- 自身の知見を広げ、スキルの引き出しを増やすため。
顧客対応の向上
- 情報システム部門に所属しており、社内ペネトレーションテストの依頼や指摘事項の対応に携わっているため。
- マイクロセグメンテーション製品を取り扱っており、部署で独自の製品検証を実施する前にペネトレーションテストの技術を学びたいと思った。
- お客様からペネトレーションテストの相談をされたとき、ある程度は説明できるようになりたいと思った。
- お客様に研修を紹介するためと、自身の知識向上のため。
- 自分自身が受講することでお客様の視点を得るため。
回答の内容から、ペネトレーションテストに対する高い関心が伺えます。特に、実践的なハンズオン体験を通じて具体的な手順を学びたいという要望や、顧客対応の質を向上させるための知識向上を目的とする回答が多く見受けられました。参加者は自身のスキルを拡充し、セキュリティ分野での専門性を高めたいという目的を持って受講していました。
研修を受講した感想
良かった点
- ペネトレーションテストを実施する意義や各攻撃フェーズにおける対策方法など、情報システム部門向けのコンテンツが充実していた。
- ペネトレーションテストの目的や手段の流れが順序立てられていて、学習の第一歩として最適だった。
- 講師とのコミュニケーションなどでお客様の視点を学べたので、今後自分がイベントを企画する際や営業活動に活かしていきたい。
- ハンズオンでセキュリティ診断との違い(考え方や実施内容)を明確に理解できた。
- 脆弱性診断との違いや、ペネトレーションテスト実施にあたっての考慮点・ポイントが盛り込まれており、検討中のお客様の役に立ちそうな内容だった。
驚いた点
- Windows 2000の頃に、Windows Server管理者のベストプラクティスとして学んだ知識のほとんどがセキュリティ上のアンチパターンであることを知り、大きな衝撃を受けた(一晩明けてもまだショックなくらいの衝撃)。
- 演習用環境ではあるものの、ツールを利用すると簡単にC2サーバと繋がる。パッチ導入や設定に不備があることの問題を強く実感できた。
- 権限昇格などが、想定していた以上に容易にできてしまうことに驚いた。
その他
- プレ開催だったためか、時間配分にやや課題を感じた。
- ハンズオンは参加者の理解度をもう少し丁寧に把握して進めてもらえるとよかった。
- やや口頭での補足が多かった印象。本開催の際には配布資料に反映してほしい。
受講した感想は満足度の高い評価が多かったです。特にハンズオンでは、攻撃者の目線で実際に攻撃の流れを体験することで脆弱性を残したシステムの怖さを感じられたようです。
一方で、今回は社員向けのプレ開催ということもあり、改善すべき点や気になった点などの指摘も多く寄せられました。今回のプレ開催で得たコース全体の設計や資料に関する気づきは、本開催に向けて改善をしています。
講師のおすすめポイント
講師を担当した戸谷と小松から、おすすめのポイントを聞きました。
このコースは、教科書的な一般論に留まらず、多くのお客様に対してテストを実施した経験と実績を活かした内容を盛り込んでいます。ハンズオン環境を用いて、実際の攻撃者の活動と同じように、端末上での権限昇格や他端末の遠隔操作などを体験できる点も、このコースの醍醐味だと思います。攻撃者が目標(ゴール)を達成するために1ステップずつマイルストーンを達成していく過程は興味深いと思います。
ラックはペネトレーションテストを提供するベンダーの立場ですが、ペネトレーションテストを受ける側のお客様においても、ペネトレーションテストに関する知識が不可欠です。このコースの内容は単なるペネトレーションテスターの育成ではなく、ペネトレーションテストを発注・受注する側の双方にとっての必要最低限の知識を共有することを意図して作成しています。コース全体を通して、ペネトレーションテストに関係する全ての方の知識の底上げに貢献したいと考えております。(戸谷)
本コースのハンズオン環境を構築するにあたって、実際にお客様にペネトレーションテストを提供する中でよく見つかる脆弱性のうち、特に悪用されると影響の大きいものを多く組み入れました。ラックの経験や実績を活かしたハンズオンを提供することで、参加者の知識や技術力の向上だけでなく、組織のセキュリティレベル向上につながるような研修にしたいと思っています。(小松)
さいごに
理論だけではなく実際に手を動かして攻撃シナリオを実行することで、攻撃者の視点からの理解が深まるように感じました。実際に攻撃を試みる中で、攻撃対象の脆弱性を発見し、システムの弱点をリアルに体感できると思います。ペネトレーションテストのプロセス全体を通して攻撃シナリオの構築から実行、報告までの一連の流れを実践的に理解できました。
サイバー攻撃の手法について理解を深めることが、情報システムのセキュリティレベル向上につながります。また、本コースではペネトレーションテストを外注する場合のベンダー選定や、技術者とのコミュニケーション、テスト結果をより理解する際に活用できる知識を得られます。
ペネトレーションテストの企画・実施を検討している方は、ぜひ「ペネトレーションテストハンズオンコース」の受講がおすすめです。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR