logo

テクニカルコラム「ペネトレーションテスト」

伊藤忠テクノソリューションズ株式会社(略称:CTC)のグループ会社で、ITシステムの保守サポート、運用サービス及び教育サービスを提供するシーティーシー・テクノロジー株式会社(代表取締役社長:藁谷二郎、本社:東京都千代田区、以下:CTCテクノロジー)は表記コラムのバックナンバーを公開しました。原文は以下の通りです。

今回から始まったこの企画。CTC教育サービスのインストラクター陣が、様々なIT技術について最新動向や重要キーワードをテーマにコラム形式で紹介します。

最近のITクラウド化や情勢不安などを理由に、セキュリティに対して再度注目が集まっています。第1回目となる今回は、セキュリティ分野において是非とも理解しておきたい“ペネトレーションテスト”がテーマです。
ペネトレーションテスト(penetration test)とは、ネットワーク接続されたコンピュータに対して様々なツールを使用して攻撃や侵入行為を実際に行い、システムに既知の脆弱性がないかをテストする手法のことです。
情報漏洩や不正アクセスなど、情報セキュリティ関連の事故・事件が増えている昨今、実際にシステムへの侵入を試みるペネトレーションテストの知識は、ITエンジニアにとって必要不可欠なものになりつつあります。

今回は、ペネトレーションテストで使用するツールについて前編と後編に分けて紹介します。前編では事前調査、権限取得のペネトレーションテストで使用されるツールを、後編では無線LAN環境のペネトレーションテストで使用されるツールを紹介します。

不正侵入行為は大きく事前調査、権限取得、不正行為、後処理の4つのプロセスに分けることが出来ます。ペネトレーションテストで使用されるツールは様々存在しますが、今回は事前調査で使用される「Nmap」、パスワード解析(権限取得)で使用される「John the ripper」を紹介します。

●「Nmap」はポート・スキャンツールで、稼動サーバとそのサーバが提供しているサービス(TCPまたはUDPポート)やOSの種類を検出します。
●「John the ripper」はパスワードクラックツールで、パスワードファイルに記述されている暗号化されたパスワードを解析し、元のパスワードを検出します。

これらのツールはフリーソフトとしてインターネット上に公開されていますので誰でも簡単に入手および使用できますが、効果的に使いこなすためにはある程度の知識が必要といえるでしょう。
例えば、TCP FINスキャンを実行した場合、WindowsOSとLinuxOSで同じ応答情報が返ってくるのでしょうか? それとも異なる応答情報が返ってくるのでしょうか?
パスワード解析手法の種類は1つ? 解読方法はどのような方法があるの?
使用するツールは何に対応しているの? など、システムの脆弱性を検査するためにはツールの使用方法だけではなく、その原理や動作についてもしっかりと理解する必要があります。

CTC教育サービスが提供する「セキュリティファーストステップ」コースでは、これらのツールを実際に使い動作原理や効果的な使用方法などについて学習することで、ペネトレーションテストに対してより深く理解することができます。

コースの詳細情報はこちら
「セキュリティファーストステップ」
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]