【書評】ペネトレーションテスト入門

ペネトレーションテスト入門という本をいただいて読みました。

ペネトレーションテストというのは聞き慣れない言葉だと思いますが
長野県の田中康夫知事が住基ネットに対して
侵入テストを実施したことが記憶に新しいかと思います。
あれがペネトレーションテストです。

本書では、ローカルクライアントに対する侵入や、
サーバへのリモートからの侵入、
また、一般ユーザとしてログインした状態から
上位の権限を奪取する方法、パスワードつきの
ファイルの暗号化を解除する方法、
IPスプーフィングやSYNフラッド攻撃などの
一通りの攻撃手法が網羅されています。

その原理だけでなく、悪意を持った攻撃者が
実際に使用してくると考えられる数多くのツールを紹介したり、
時には筆者自作のソースまでつけて構成されています。

少し変わったところでは、前置きとして
いかにペネトレーションテストを売り込むか、営業展開をしていくか、
契約はどのように締結すべきか、という部分にも触れられています。

そしてテストが完了した場合に、どのように報告を行うべきかという部分についても
報告ドキュメントの形式やプレゼンテーションに至るまで網羅されており、
必要な人にとっては役に立つと思います。

もちろん、ペネトレーションテストというのは実際にシステムに侵入して
なんぼの世界ですので、倫理観というか、使命感を認識して
テストに挑みましょう、という啓蒙も行われています。
それが無ければゲーラボと大差ありません。

「安全なシステム」の構築にペネトレーションテストが
不可欠であるということを広く知ってもらうためには、
このように本として出版するのが一番だと思います。
インターネットに掲載したら「使える」部分だけコピペされて
UGな世界に拡散していくだけだと思われます。

さて、本書の内容とは関係の無い話になりますが、
PGPという暗号を開発したフィリップ・ジマーマンという偉いプログラマさんというか
SEさんというか、IT技術者のカリスマのような方がおられます。

暗号というのは、アメリカを繁栄させもしますが、脅威にもなり得るものです。
そのため、アメリカ国内で作られた暗号を外国へ輸出してはいけません！という法律がありました。
（今、どうなってるかどうかわかりません。完全にそのルールが無くなったわけじゃないと思います）

それに反発してジマーマンさんは、暗号のアルゴリズムを書籍にして
出版してしまいました。暗号化ソフトウェアをそのまま外国に持ち出せば
輸出になってしまいますが、出版であれば「表現の自由」の一部と看做せるからです。
このことにより、晴れてPGP暗号は世界各国で使われることになりました。

このペネトレーションテスト入門という本に書かれた内容も、
安全な情報システムの構築に貢献する素晴らしいものであると同時に
使い方を誤れば大変な脅威として悪用されかねないものでもあります。
適当な端末と回線を用意して少しPCに詳しい中高生に
この本の通りに自由に実験させたら1ヶ月やそこらで
かなりの実力を身につけると思います。

そういう私はこれまでYahoo!BBとファミリーマートとアッカ・ネットワークスのそれぞれから
計3回に渡って個人情報が洩れました。洩れたのは大学の時に住んでいた
京都の四条大宮のワンルームマンションの住所と電話番号なので
痛くもかゆくもないですが、架空請求の詐欺の葉書がたくさん来ました。
あのような不快な思いはしたくありませんので、インターネットに公開される
サービスに従事しておられる技術者の方には是非お勧めの一冊です。

最後に少し気になっていることを付け加えます。
情報セキュリティに関するコンサルテーションやサービスが
「次々販売」などと言われる詐欺まがいの商法に近づきつつあると言われています。

• ファイヤーウォールはもう常識ですよ。
• IDSが無くては侵入者を特定できません。
• クライアントにウイルスソフトは入れましたか？
• サーバーにもウイルスソフトを入れましょうよ。
• 各端末のディスクは暗号化していますか？
• ペネトレーションテストはやっていますか？

いくら情報システムの脆弱性による情報漏えいの被害が増えているからと言って、
専門知識が少ない一般企業を食い物にしてセキュリティの押し売りをすることは良くありません。
こうした次々販売の手口にひっかからないために、
技術者でない方も一読していただけたら良いのにな、と思う1冊でした。