侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。
第4回は、比較的新しい用語「クラウドテスト」と「ホストベーステスト」を取り上げる。
クラウドテストという用語の分かりにくさは、人々が「クラウド」という用語をあいまいな意味で使っていることに起因する。「クラウド」はSalesforce(salesforce.com)のCRM(顧客関係管理)サービスなどのSaaS(Software as a Service)を指すこともあれば、「Amazon Web Services」「Microsoft Azure」「Google Cloud Platform」といったIaaS(Infrastructure as a Service)を指すこともある。
いずれの意味でも「クラウド」は、ネットワークやアプリケーション、およびそれらの設定に存在する脆弱(ぜいじゃく)性を露呈させることがある。その結果、企業の機密情報や社内システムへの外部からの不正アクセスを招きかねない。「クラウド」が何を指すかによって、実施する模擬的な攻撃には以下のような幅が生じる。
企業は新型コロナウイルス感染症(COVID-19)の影響を受けて従業員の在宅勤務を急いで実現する中、セキュリティに対する影響を考えることよりも、業務で利用するシステムやデータに従業員がアクセスできるようにすることを重視した。例えば「Windows」のライセンスが不足していたため古いバージョンのWindowsを搭載するPCを従業員に支給したり、手っ取り早くリモートデスクトップを実現するために古いVPN(仮想プライベートネットワーク)を従業員に使わせたりした企業もあった可能性がある。
こうした企業を救う手段となり得るのがホストベーステストだ。ホストベーステストは、デスクトップPCからノートPC、仮想デスクトップインフラ(VDI)、アプリケーションサーバに至るまで、幅広いホストマシンに関するテストを網羅する。ホストベーステストは以下の項目をテストする。
ホストベーステストで認識すべき最大の事項は、「1回限りの作業ではない」点だ。ビジネスの流動性が増す中で、脅威情勢は継続的に進化する。つまりホストベースの評価は定期的に実行する必要がある。
第5回は「脅威モデリング」の概要と、その重要性を解説する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...
ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。
「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...