「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか意思疎通のためのセキュリティ用語集【第4回】

侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。

2021年07月23日 05時00分 公開
[Nabil HannanTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第4回は、比較的新しい用語「クラウドテスト」と「ホストベーステスト」を取り上げる。

用語5.クラウドテスト

 クラウドテストという用語の分かりにくさは、人々が「クラウド」という用語をあいまいな意味で使っていることに起因する。「クラウド」はSalesforce(salesforce.com)のCRM(顧客関係管理)サービスなどのSaaS(Software as a Service)を指すこともあれば、「Amazon Web Services」「Microsoft Azure」「Google Cloud Platform」といったIaaS(Infrastructure as a Service)を指すこともある。

会員登録(無料)が必要です

 いずれの意味でも「クラウド」は、ネットワークやアプリケーション、およびそれらの設定に存在する脆弱(ぜいじゃく)性を露呈させることがある。その結果、企業の機密情報や社内システムへの外部からの不正アクセスを招きかねない。「クラウド」が何を指すかによって、実施する模擬的な攻撃には以下のような幅が生じる。

  • システムやサービスの探索
  • 自動での脆弱性スキャンと手動での検証
  • 手動のプロトコル攻撃
    • プロトコルを悪用してデータを標的サーバに集中させ、ダウンさせる。
  • 手動の辞書攻撃
    • 辞書に載っている単語をパスワード推測に利用する。
  • 権限の昇格
    • 標的システムにおいて、一般ユーザーが実行できない操作で不正な行動を取る。管理者権限など一般ユーザーよりも上位の権限を取得することで、こうした不正を実現する。
  • 機密データや重要システムへのアクセス

用語6.ホストベーステスト

 企業は新型コロナウイルス感染症(COVID-19)の影響を受けて従業員の在宅勤務を急いで実現する中、セキュリティに対する影響を考えることよりも、業務で利用するシステムやデータに従業員がアクセスできるようにすることを重視した。例えば「Windows」のライセンスが不足していたため古いバージョンのWindowsを搭載するPCを従業員に支給したり、手っ取り早くリモートデスクトップを実現するために古いVPN(仮想プライベートネットワーク)を従業員に使わせたりした企業もあった可能性がある。

 こうした企業を救う手段となり得るのがホストベーステストだ。ホストベーステストは、デスクトップPCからノートPC、仮想デスクトップインフラ(VDI)、アプリケーションサーバに至るまで、幅広いホストマシンに関するテストを網羅する。ホストベーステストは以下の項目をテストする。

  • 物理的なサーバやインフラのセキュリティ管理
  • ソフトウェアのセキュリティ管理
  • ユーザーおよびグループの設定
  • アクセス制御の設定
  • パッチ適用の設定
  • 機密データの暗号化

 ホストベーステストで認識すべき最大の事項は、「1回限りの作業ではない」点だ。ビジネスの流動性が増す中で、脅威情勢は継続的に進化する。つまりホストベースの評価は定期的に実行する必要がある。


 第5回は「脅威モデリング」の概要と、その重要性を解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 Absolute Software株式会社

どこでも持ち歩ける“防具” 強固なゼロトラストネットワークアクセスの実現法

ハイブリッドワークの普及に伴い、企業ではリモートアクセスをどう保護するかが課題となっている。注目されるのは、全てのリソースを個別のセキュアな境界で保護する、ゼロトラストネットワークアクセスのアプローチだ。その実現法を探る。

製品資料 Absolute Software株式会社

G2 Grid Report要約版「ゼロトラストネットワーキングソフトウェア」

ゼロトラストネットワーキングソフトウェア製品を選定する際は、いくつかのポイントを押さえることが重要になる。本資料は、ビジネスソフトウェアのレビュープラットフォーム「G2」の要約から、そのポイントを解説する。

製品資料 パロアルトネットワークス株式会社

現在のSOCが抱える課題を解決、AI主導のセキュリティ運用基盤の実力とは?

最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。

製品資料 パロアルトネットワークス株式会社

CISOからセキュリティアナリストまで、役割ごとの課題から考える製品選びの勘所

CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。

技術文書・技術解説 パロアルトネットワークス株式会社

今さら聞けない「XDR」の基礎知識:EDRやEPP、SIEMと何がどう違うのか?

ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...