検索
特集/連載

「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか意思疎通のためのセキュリティ用語集【第4回】

侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。

Share
Tweet
LINE
Hatena

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第4回は、比較的新しい用語「クラウドテスト」と「ホストベーステスト」を取り上げる。

用語5.クラウドテスト

 クラウドテストという用語の分かりにくさは、人々が「クラウド」という用語をあいまいな意味で使っていることに起因する。「クラウド」はSalesforce(salesforce.com)のCRM(顧客関係管理)サービスなどのSaaS(Software as a Service)を指すこともあれば、「Amazon Web Services」「Microsoft Azure」「Google Cloud Platform」といったIaaS(Infrastructure as a Service)を指すこともある。

 いずれの意味でも「クラウド」は、ネットワークやアプリケーション、およびそれらの設定に存在する脆弱(ぜいじゃく)性を露呈させることがある。その結果、企業の機密情報や社内システムへの外部からの不正アクセスを招きかねない。「クラウド」が何を指すかによって、実施する模擬的な攻撃には以下のような幅が生じる。

  • システムやサービスの探索
  • 自動での脆弱性スキャンと手動での検証
  • 手動のプロトコル攻撃
    • プロトコルを悪用してデータを標的サーバに集中させ、ダウンさせる。
  • 手動の辞書攻撃
    • 辞書に載っている単語をパスワード推測に利用する。
  • 権限の昇格
    • 標的システムにおいて、一般ユーザーが実行できない操作で不正な行動を取る。管理者権限など一般ユーザーよりも上位の権限を取得することで、こうした不正を実現する。
  • 機密データや重要システムへのアクセス

用語6.ホストベーステスト

 企業は新型コロナウイルス感染症(COVID-19)の影響を受けて従業員の在宅勤務を急いで実現する中、セキュリティに対する影響を考えることよりも、業務で利用するシステムやデータに従業員がアクセスできるようにすることを重視した。例えば「Windows」のライセンスが不足していたため古いバージョンのWindowsを搭載するPCを従業員に支給したり、手っ取り早くリモートデスクトップを実現するために古いVPN(仮想プライベートネットワーク)を従業員に使わせたりした企業もあった可能性がある。

 こうした企業を救う手段となり得るのがホストベーステストだ。ホストベーステストは、デスクトップPCからノートPC、仮想デスクトップインフラ(VDI)、アプリケーションサーバに至るまで、幅広いホストマシンに関するテストを網羅する。ホストベーステストは以下の項目をテストする。

  • 物理的なサーバやインフラのセキュリティ管理
  • ソフトウェアのセキュリティ管理
  • ユーザーおよびグループの設定
  • アクセス制御の設定
  • パッチ適用の設定
  • 機密データの暗号化

 ホストベーステストで認識すべき最大の事項は、「1回限りの作業ではない」点だ。ビジネスの流動性が増す中で、脅威情勢は継続的に進化する。つまりホストベースの評価は定期的に実行する必要がある。


 第5回は「脅威モデリング」の概要と、その重要性を解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る