定義

クラウド・ペネトレーション・テストは、概念的にはペネトレーション・テストと同様に、システムに対するサイバー攻撃をシミュレートして脆弱性を特定するためのテストですが、クラウドネイティブ・システムで実行されるという点が異なります。この種のセキュリティ・テストでは、セキュリティ・リスクと脆弱性を特定し、実用的な修正アドバイスを提供します。

ペネトレーション・テスト:バイヤー向けガイド

このガイドでは、ペネトレーション・テストの利点、ペネトレーション・テスト・ソリューションで調査する内容、および潜在的なベンダーに対する質問事項について詳しく説明しています。

クラウド・ペネトレーション・テストの利点

クラウド・ペネトレーション・テストにより、クラウド環境のセキュリティを強化し、システムへの回避可能なセキュリティ侵害を未然に防ぎ、業界の規制への準拠を維持することができます。その方法として、セキュリティ・プログラムの脆弱性、リスク、ギャップの特定を支援します。実用的な修正アドバイスにより、ビジネス・リスクの重大度に合わせてアクティビティに優先順位を付け、セキュリティの問題に対応することができます。

クラウド・ペネトレーションテストのメリット

  • ビジネス・リスクに対する組織の全体的な可視性の向上に役立つ
  • 脆弱性を特定できる
  • 特定された脆弱性が悪用された場合の潜在的な影響が実証される
  • 脆弱性を修正し、関連するリスクを軽減するための明確な修正アドバイスが得られる

クラウド・コンピューティング環境におけるペネトレーション・テストの仕組み

クラウド環境のペネトレーション・テストでは通常、主に3つの考慮事項があります。

  • 内部クラウド環境
  • クラウド境界
  • オンプレミスのクラウド・インフラストラクチャ管理

テストは3段階の手順に従って行います。

  1. 評価:評価フェーズでは、最初の検出アクティビティを実行し、セキュリティ・プログラムの脆弱性、リスク、ギャップ、およびセキュリティ・チームの全体的なニーズと目標を特定します。
  2. エクスプロイテーション:エクスプロイテーション・フェーズでは、評価中に収集した情報を活用して、採用するペネトレーション・テスト手法を決定します。適切なテスト方法をデプロイした後、クラウド環境を綿密に監視して、攻撃に対する反応、既存のセキュリティ・ツールによる攻撃検出の精度、セキュリティ・プログラムとセキュリティ・プラクティス全体の網羅性を確認します。必要に応じて、特定されたセキュリティ脆弱性を解消するための修正アクティビティを実行します。
  3. 検証:検証フェーズでは、前のフェーズで行った修正アクティビティをレビューします。レビューでは、適切な対策が正確に適用され、セキュリティ・プログラムおよびセキュリティ・プラクティス全体が業界のベストプラクティスに沿っていることを確認します。 

クラウド・ペネトレーション・テストの手法

クラウド・ペネトレーション・テストには3種類の方法があります。使用するテストの種類は、テスト対象のシステムに固有のニーズと要件によって異なります。3種類のテストはすべて、攻撃者の行動を模倣して細かい点まで調べながらシステムに実在する悪用可能な弱点を特定します。

  • トランスペアレントボックス・テスト:(ホワイトボックス・テスト)テスターはクラウド環境への管理者レベルのアクセス権を持ち、侵害のターゲットとなるシステムに関する完全なアクセスと情報を得ることができる。
  • セミトランスペアレントボックス・テスト:(グレーボックス・テスト) テスターはハッキングを仕掛けようとしているシステムに関する一定の情報を持っている。
  • オペークボックス・テスト:(ブラックボックス・テスト) テスターは、テスト・アクティビティを開始する前の段階でクラウド・システムに関する知識を持たず、クラウド・システムにアクセスできない。 

 

Cloud Penetration Testing Process | Black Duck

クラウド・ペネトレーション・テストと従来のペネトレーション・テストの違い

従来のペネトレーション・テストとクラウド・ペネトレーション・テストの主な違いは、テストの実行環境にあります。クラウド・ペネトレーション・テストは、クラウド・サービス上で実行されるという点を除けば従来のペネトレーション・テストと変わりません。

また、クラウド環境はAWSやGCPなどのクラウド・サービス・プロバイダーから提供されています。これらのクラウド・プロバイダーは、ペンテストの実行方法に関する厳格なガイドラインを設けています。クラウド・プロバイダーのセキュリティ・アクティビティと独自のペンテストを組み合わせることで、セキュリティ体制の強化に役立ちます。従来のオンプレミス環境では、セキュリティ・アクティビティの実行はユーザー任せでした。 


クラウド・コンピューティングの一般的な脅威とは

クラウド環境で特定された一般的な脅威の例

  • セキュリティ脆弱性
  • データ侵害
  • マルウェア/ランサムウェア
  • サプライ・チェーンの脆弱性
  • 脆弱なID、資格情報、アクセス管理
  • 安全でないインターフェイスやAPI
  • クラウド・サービスの不適切な使用

シノプシスの支援方法

アプリケーションのワークロードをクラウドに移行して即応性を高め、市場投入までに要する期間の短縮とコスト削減を目指す組織が増えています。クラウドネイティブ・アプリケーションの開発や既存アプリケーションのクラウドへの移行を検討しているお客様が、セキュリティを確保しながらイノベーション、信頼性、効率性の向上を実現できるよう、シノプシスがお手伝いいたします。

Synopsysのオンデマンドのペネトレーション・テストを利用することにより、探索的なリスク分析とビジネス・ロジック・テストに対応し、ビジネス上重大な脆弱性を体系的に検出して排除できます。