製造業への「侵入」は簡単であり難しい？：宮田健の「セキュリティの道も一歩から」（91）（1/2 ページ）

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、さまざまなセキュリティのテストを通じて自社の防御に穴はないかを確認するための「ペネトレーションテスト」について考察したいと思います。

[宮田健，TechFactory]

　セキュリティの世界では「ペネトレーションテスト」というものがあります。ペネトレーションとは浸透や侵入を意味する単語ですが、このテストはハッカー級のスペシャリストが、実際に企業のシステムに疑似攻撃を仕掛け、サイバー犯罪者のゴールと同じく、情報を盗み出したり、システムを止めたりといったテストを通じ、自社の防御に穴はないかを確認するためのものとなります。

　多くの場合、こういったテストを実際に行う企業は、ある程度セキュリティが成熟し、それでも不安であるという場合に行われるため、日本国内でもペネトレーションテストを定期的にやっているという企業は少ないと思います。それでも、絶対にシステムが攻撃されてはならないエリアの企業は、自社内でこういったテスターを育て、かつ従業員、そして社長にすら一切知らせずに抜き打ちでのテスト「レッドチーム演習」を行うという企業まで出てきています。興味深いですね。

　さて、今回ピックアップしたいのは、そのペネトレーションテスターが、あなたの会社にどうやって「侵入」するか、という点にあります。皆さんは、テストにおいて、実際の攻撃者のテクニックを使って企業システムの内部に侵入するといったとき、どのような方法を思い浮かべるでしょうか？

どの企業でも侵入できる、その方法とは