「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか意思疎通のためのセキュリティ用語集【第4回】

侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。

2021年07月23日 05時00分 公開
[Nabil HannanTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第4回は、比較的新しい用語「クラウドテスト」と「ホストベーステスト」を取り上げる。

用語5.クラウドテスト

 クラウドテストという用語の分かりにくさは、人々が「クラウド」という用語をあいまいな意味で使っていることに起因する。「クラウド」はSalesforce(salesforce.com)のCRM(顧客関係管理)サービスなどのSaaS(Software as a Service)を指すこともあれば、「Amazon Web Services」「Microsoft Azure」「Google Cloud Platform」といったIaaS(Infrastructure as a Service)を指すこともある。

会員登録(無料)が必要です

 いずれの意味でも「クラウド」は、ネットワークやアプリケーション、およびそれらの設定に存在する脆弱(ぜいじゃく)性を露呈させることがある。その結果、企業の機密情報や社内システムへの外部からの不正アクセスを招きかねない。「クラウド」が何を指すかによって、実施する模擬的な攻撃には以下のような幅が生じる。

  • システムやサービスの探索
  • 自動での脆弱性スキャンと手動での検証
  • 手動のプロトコル攻撃
    • プロトコルを悪用してデータを標的サーバに集中させ、ダウンさせる。
  • 手動の辞書攻撃
    • 辞書に載っている単語をパスワード推測に利用する。
  • 権限の昇格
    • 標的システムにおいて、一般ユーザーが実行できない操作で不正な行動を取る。管理者権限など一般ユーザーよりも上位の権限を取得することで、こうした不正を実現する。
  • 機密データや重要システムへのアクセス

用語6.ホストベーステスト

 企業は新型コロナウイルス感染症(COVID-19)の影響を受けて従業員の在宅勤務を急いで実現する中、セキュリティに対する影響を考えることよりも、業務で利用するシステムやデータに従業員がアクセスできるようにすることを重視した。例えば「Windows」のライセンスが不足していたため古いバージョンのWindowsを搭載するPCを従業員に支給したり、手っ取り早くリモートデスクトップを実現するために古いVPN(仮想プライベートネットワーク)を従業員に使わせたりした企業もあった可能性がある。

 こうした企業を救う手段となり得るのがホストベーステストだ。ホストベーステストは、デスクトップPCからノートPC、仮想デスクトップインフラ(VDI)、アプリケーションサーバに至るまで、幅広いホストマシンに関するテストを網羅する。ホストベーステストは以下の項目をテストする。

  • 物理的なサーバやインフラのセキュリティ管理
  • ソフトウェアのセキュリティ管理
  • ユーザーおよびグループの設定
  • アクセス制御の設定
  • パッチ適用の設定
  • 機密データの暗号化

 ホストベーステストで認識すべき最大の事項は、「1回限りの作業ではない」点だ。ビジネスの流動性が増す中で、脅威情勢は継続的に進化する。つまりホストベースの評価は定期的に実行する必要がある。


 第5回は「脅威モデリング」の概要と、その重要性を解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...