8.2. 査定を決定してテストする

脆弱性の査定は2つのタイプに別けることができます。外部からのルックイン内部のルックアラウンド です。

外部からのルックイン脆弱性査定の実施とは、外部からシステムを侵害しようと試みることです。企業に対する外部者になり、クラッカーの視点でとらえます。クラッカーが見るところをさがします — 公的にルート可能なIPアドレス、 DMZに あるシステム、ファイアウォール外部のインターフェース、その他。 DMZ とは「demilitarized zone」(不戦地区)の略で、企業のLANなどの信頼できる 内部ネットワークと公共インターネットなどの信頼できない外部ネットワークの間にあるコンピュータ又は小規模のサブネットワークに相当します。通常、DMZ には、 Web (HTTP )サーバー、FTP サーバー、SMTP (e-mail)サーバー、及びDNS サーバーなど インターネット通信にアクセス可能なデバイスが含まれます。

内部ルックアラウンド脆弱性査定の実施では、実施者が内部者であり信頼できるステータスを与えられるので優位な立場になります。自分と同僚がシステムにログオンしている視点から見ることになります。プリントサーバー、ファイルサーバー、データベース、その他のリソースなどを見ます。

この2つの脆弱性査定には顕著な違いがあります。企業の内部者としての査定は特権を与えられることになります — 外部者と比べて優位になります。今日でもいまだほとんどの企業では、外からの侵入者を防ぐというような方法でセキュリティが 設定されます。ところが、企業や組織の内部の安全を確保すると言う方法はほとんど 採られていません(部門別ファイアウォール、ユーザーレベルのアクセス制御、内部 リソースの認証手続き、その他)。概して、ほとんどのシステムは企業に対して内部側となるので内部ルックアラウンドの時にはより多くのリソースがあります。外部者として自分を設定したら、直ちに信頼できないというステータスが与えられます。一般的に、外部から利用可能となるシステムとリソースは非常に限られています。

脆弱性の査定と侵入力テストの違いを考慮して下さい。。 脆弱性の査定を侵入力テストへの最初のステップと考えます。査定で拾い集めてきた 情報はテストをする時に使われます。査定が穴開きや可能性のある脆弱性をチェック するのに対し、侵入力テストは実際にこれらの調査結果に対して不正アクセスを 試みます。

ネットワークのインフラストラクチャ査定は動的なプロセスです。 セキュリティは、情報と物理的の両方とも、動的です。 査定の実施は、false positive と false negative で表される概要を表示します。

セキュリティ管理者の仕事は使用するツールや自分の知識に依存します。現在、利用可能な査定ツールは何でも利用して、システムで実行します。少なくともいくつかの疑似症状(false positive)があることがほぼ確実になります。プログラムの 欠陥かユーザーの誤りによるものか関係なく、結果は同じです。ツールは現実には存在しない(false positive)脆弱性を発見するかもしれません。また悪くすると、ツールが実際に存在する(false negative)脆弱性を発見しないかもしれません。

さて、脆弱性の査定と侵入力テストの違いが定義されたところで、新しい最適な実行手段としての侵入力テストを開始する前に、査定の結果を注意深く見直してみましょう。

警告警告
 

業務リソース上で脆弱性への不正アクセスを試みるのは、 システムとネットワークの生産性と効率性に対して逆効果となり得ます。

以下の一覧は脆弱性の査定を実施することで利点となることをいくつかあげています。

8.2.1. 体系を確立する

脆弱性の査定に関するツール選択を容易にするために、脆弱性の査定体系を確立することが役に立ちます。残念ながら、事前設定された体系または産業認可を受けた体系はいまのところありません。しかし、常識と実践のくり返しが十分な指針となっていくでしょう。

対象とは何ですか? 1つのサーバーを対象としているのでしょうか。 それとも、ネットワーク全体とネットワーク内のすべてのものを対象としている のでしょうか。査定担当者は企業に対して外部者ですか、内部者ですか? これに対する答は、ツールの選択を決める手助けになる ばかりでなく、その使用方法などを決めるのにも役立つので重要です。

体系の確立についての詳細は以下のウェブサイトを参照してください。