侵入テスト実施者やハッカーを対象とした調査結果をまとめたセキュリティレポートが公開された。IT担当者やベンダーを対象とした一般的な調査からは見えにくかった“真実”とは。
ほとんどのサイバーセキュリティレポートは、IT担当者やベンダーなど定番の情報源に基づいて作成されている。だが、このたび作成されたレポートでは、これまで十分に取り上げられてこなかったペネトレーション(侵入)テストの実施者(以下、ペネトレーションテスター)とハッカーの視点に焦点を当てるという、新たな試みに挑戦している。
フォレンジック(証拠保全・分析)ベンダーのNuixは、米ラスベガスで2016年7月末から8月上旬に掛けて開催されたセキュリティカンファレンス「Black Hat」「DEF CON」でペネトレーションテスターとハッカーを対象とした調査を実施し、その結果をサイバーセキュリティレポート「The Black Report」にまとめた。このレポートの中で、Nuixの最高情報セキュリティ責任者(CISO)を務めるクリス・ポーグ氏は「調査結果は従来のサイバーセキュリティの認識とは大きく異なるものになっている」と記している。
攻撃阻止に有効だと考えられている対策の中には、攻撃を鈍らせることすらできないものがある。一方で全く根拠がないと考えられている防衛対策が、実は防御態勢にとって大きな意味を持っていることもある。「明らかになったのは、早急に認識と現実をすり合わせなければならない実情だ」とポーグ氏は語る。
このレポートは、ペネトレーションテスターとハッカーの両方を調査対象としている。調査に回答したペネトレーションテスターの1人が指摘したところによると、侵入に使用するツールや手法は攻撃者と全く同じであり、違うのは、侵入が仕事なのか、犯罪なのかだけだという。
過去にブラックハットハッカー(技術を悪事に利用するハッカー)として活動し、現在はペネトレーションテストベンダーRhino Security Labsでアセスメントディレクターを務めるヘクター・モンセガー氏は、このような調査プロジェクトやハッカーを対象とした調査に大きな関心を寄せる。その理由は「自分や所属する組織の能力を高める情報にアクセスできることが、非常に重要だからだ」と話す。
ペネトレーションテスターとハッカーは、どちらも同じようにセキュリティ問題に日々取り組んでいる。自分自身が攻撃の被害者になることさえある。サイバーセキュリティに携わる彼らの思考や経験を調査することは、サイバーセキュリティを理解する最初のステップとして非常に有効だ。
Black Hat/DEF CONや「Hack In The Box」などのセキュリティカンファレンスでは、サイバーセキュリティの研究者が脆弱(ぜいじゃく)性に関する情報や攻撃手法などを報告している。だが実際のところ「ほとんどの人はセキュリティカンファレンスの内容を入手する方法はおろか、こうしたカンファレンスが存在することすら知らない」とモンセガー氏は指摘する。
このレポートには「セキュリティの確保に役立つ知見が書かれており、他のサイバーセキュリティレポートでは見たことのない視点が記されている」と、調査会社Forrester Researchでシニアアナリストを務めるジョセフ・ブランケンシップ氏は説明する。ペネトレーションテスターとハッカーのセキュリティに対する視点を身に付けることは「有益で、意思決定を下す上で役に立つだろう」とブランケンシップ氏は指摘。「多くのセキュリティ意思決定者は、この視点を持ち合わせていなかったのではないだろうか」と語る。
当然ながら、このレポートに含まれる全ての情報が、従来のサイバーセキュリティについての認識と矛盾するわけではない。調査では回答者の72%が、攻撃を仕掛ける前にソーシャルエンジニアリングで情報を収集すると答え、86%が標的の弱点を見つけるために脆弱性スキャンを使用すると答えている。またフィッシング(40%)とサーバへの直接攻撃(43%)が、最もよく使われる攻撃手法の上位2位を占める。
一方でこのレポートからは、侵入に使われるツールは、サイバーセキュリティの専門家が想定しているツールとは異なる可能性があることが明らかになった。市販のツールを使用していると回答したのは10%しかおらず、エクスプロイトキット(脆弱性攻撃ツール)を使用していると答えた回答者は、わずか3%だったのだ。なお回答者の60%がオープンソースソフトウェア(OSS)のツール、21%が自作ツールを使用している。「通常、組織に所属していればツールの購入予算が与えられる」とポーグ氏は指摘する。だがこの調査結果は、予算がある場合でも無料のツールや自作ツールを選んでいることを示している。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドの利用が加速する中、「設定ミス」がセキュリティリスクを高めてしまっているケースが散見される。よくある7つの設定ミスと、それらが悪用されるリスクを最小限に抑える対策を解説する。
強固なサイバーセキュリティ対策を練る上では、まず脅威の実態を知ることが重要だ。そこで参考にしてほしいのが、本資料だ。「2025年版グローバル脅威レポート」として、2024年のサイバー攻撃の傾向を解説している。
クラウドを狙う攻撃が増えている一方で、現在多くの組織で行われているクラウドセキュリティ管理には限界がある。クラウド環境の多くは可視性が欠如しており、監視も徹底されていない。クラウド環境を保護するための要件について解説する。
エンドポイント保護の重要性が高まっているが、いまだにレガシーなセキュリティツールを使用している企業も多い。旧式のエンドポイントセキュリティでは検知できないマルウェアフリーが増えている中で、どう対策を強化すればよいのか。
複雑さを増すクラウド環境におけるセキュリティ対策では、スマートかつ迅速なアプローチが重要だ。そのキーとなるのが「CNAPP」だが、ここではCNAPPに特に必要とされる「100%の可視性」など、5つの柱について解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
