「クラウドテスト」「ホストベーステスト」とは？ 何を実行するのか：意思疎通のためのセキュリティ用語集【第4回】

侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。

[Nabil Hannan，TechTarget]

　第4回は、比較的新しい用語「クラウドテスト」と「ホストベーステスト」を取り上げる。

用語5．クラウドテスト

　クラウドテストという用語の分かりにくさは、人々が「クラウド」という用語をあいまいな意味で使っていることに起因する。「クラウド」はSalesforce（salesforce.com）のCRM（顧客関係管理）サービスなどのSaaS（Software as a Service）を指すこともあれば、「Amazon Web Services」「Microsoft Azure」「Google Cloud Platform」といったIaaS（Infrastructure as a Service）を指すこともある。

併せて読みたいお薦め記事

連載：意思疎通のためのセキュリティ用語集

• 第1回：「セキュリティ用語」をあいまいな理解で使ってはいけない“納得の理由”
• 第2回：「侵入テスト」にまつわる3つのセキュリティ用語　正しい意味は？
• 第3回：いまさら聞けない「ネットワークテスト」の基礎　4つの対象による違いとは？

セキュリティの用語解説

• 新たなセキュリティ対策「NTA」「NDR」はなぜ必要なのか？
• いまさら聞けない「VPN」の必修12用語　あなたは幾つ知っている？
• 「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは？

さまざまなテスト方法

• 「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは？　脆弱性対策を楽にする2大手段
• クラウドアプリの性能とセキュリティを確保するための5つのテストと主要製品

　いずれの意味でも「クラウド」は、ネットワークやアプリケーション、およびそれらの設定に存在する脆弱（ぜいじゃく）性を露呈させることがある。その結果、企業の機密情報や社内システムへの外部からの不正アクセスを招きかねない。「クラウド」が何を指すかによって、実施する模擬的な攻撃には以下のような幅が生じる。

• システムやサービスの探索
• 自動での脆弱性スキャンと手動での検証
• 手動のプロトコル攻撃
  • プロトコルを悪用してデータを標的サーバに集中させ、ダウンさせる。
• 手動の辞書攻撃
  • 辞書に載っている単語をパスワード推測に利用する。
• 権限の昇格
  • 標的システムにおいて、一般ユーザーが実行できない操作で不正な行動を取る。管理者権限など一般ユーザーよりも上位の権限を取得することで、こうした不正を実現する。
• 機密データや重要システムへのアクセス

用語6．ホストベーステスト

　企業は新型コロナウイルス感染症（COVID-19）の影響を受けて従業員の在宅勤務を急いで実現する中、セキュリティに対する影響を考えることよりも、業務で利用するシステムやデータに従業員がアクセスできるようにすることを重視した。例えば「Windows」のライセンスが不足していたため古いバージョンのWindowsを搭載するPCを従業員に支給したり、手っ取り早くリモートデスクトップを実現するために古いVPN（仮想プライベートネットワーク）を従業員に使わせたりした企業もあった可能性がある。

　こうした企業を救う手段となり得るのがホストベーステストだ。ホストベーステストは、デスクトップPCからノートPC、仮想デスクトップインフラ（VDI）、アプリケーションサーバに至るまで、幅広いホストマシンに関するテストを網羅する。ホストベーステストは以下の項目をテストする。

• 物理的なサーバやインフラのセキュリティ管理
• ソフトウェアのセキュリティ管理
• ユーザーおよびグループの設定
• アクセス制御の設定
• パッチ適用の設定
• 機密データの暗号化

　ホストベーステストで認識すべき最大の事項は、「1回限りの作業ではない」点だ。ビジネスの流動性が増す中で、脅威情勢は継続的に進化する。つまりホストベースの評価は定期的に実行する必要がある。

---

　第5回は「脅威モデリング」の概要と、その重要性を解説する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。