ASV認定試験ってあるんだ！

第14回「ASV検査、ペネトレテスターの思考を追う」では、ASV（Approved Scanning Vendors）という認定試験で遭遇した脆弱性の実例から、ペネトレーションテストとは一体どういうものなのか、そしてペネトレーションテストで用いられる、脆弱性スキャナの「うそと沈黙」について解説させていただいた。

報告、それは脆弱性検査の「序章」 (1/3)：セキュリティ対策の「ある視点」（15） - ＠IT

読んでもらえる脆弱性報告書。ユーザニーズに合わせた報告書か。。。

●3．侵入証跡
検査では、さまざまな脆弱性を利用することで侵入を行うこと、または、個人情報のような機密情報が取得可能である場合は珍しくない。そういった場合、どのような手順を踏むことで貫通することが可能であったのかということを報告する。
これこそ、ペネトレーションテストの醍醐味（だいごみ）ともいえる、生の情報をレポートする部分である。お客様の中には技術的興味が非常に高い方もおり、そのような方には侵入証跡のレポート部分が最も喜ばれる。

報告、それは脆弱性検査の「序章」 (2/3)：セキュリティ対策の「ある視点」（15） - ＠IT

結局修正できないし、次のシステムでも同様の脆弱性・・・orzしちゃいますが、それはなぜかを考えるってことも、必要かもね。

システムにおいても、対策を行う必要性は理解しているが、それによる試験などの稼働の発生を考えると、対応ができないこともあるだろう。通年で検査をしていると、前年度発見されている問題が修正されていなかったり、新しく構築されたシステムで教訓が生かされていなかったりということはよく遭遇するものである。

報告、それは脆弱性検査の「序章」 (3/3)：セキュリティ対策の「ある視点」（15） - ＠IT

これを、検査の指摘事項に置き換えると、「根本的に修正できる可能性の低いものについて指摘される」「脆弱性ではあるが、その対策をすることができない」といったものになるだろう。

報告、それは脆弱性検査の「序章」 (3/3)：セキュリティ対策の「ある視点」（15） - ＠IT

運用上アップデートしないといけないが、できないこともあるが報告しないと、逆にまずい、ちゃんと報告はしておく。忘れないため。

Apacheのバナーの隠ぺい、そして最新版へとアップデートすることが対策となる。しかし、組み込まれたApacheのみのアップデートを行うと、サポートの対象外になる可能性が高い。また、組み込まれたApacheごと製品自体のアップデートを行うということも選択肢としてなくもないのだが、その場合、別途費用がかかる場合が多く、お金の問題なども発生する可能性がある（そもそもだが、製品自体を最新にしても、それに組み込まれているものが最新であるとも限らない）。

　このような条件下であると、迅速に最新版へのアップデートを行うことは現実的ではないだろう。しかし、検査結果報告では指摘を行うべき項目だ。

　これは、皆さんが1年に1度受けているであろう、健康診断と同じである。いかなる理由があるにせよ、健康状態に問題あると判断できる場合は、その問題個所は指摘事項であるはずだ。

　ペネトレーションテストも同様で、いかなる理由があろうとも、そのシステムに内在する脆弱性と呼べるものを、あるがままに指摘、報告している。ここが「運用の不備」を検査スコープとしていないというところである。

報告、それは脆弱性検査の「序章」 (3/3)：セキュリティ対策の「ある視点」（15） - ＠IT

ここ良い言葉だなぁ。脆弱性検査は脆弱性とどう付き合っていくかを提案してお手伝いするものか。

ペネトレーションテストとは、「修正可能なもののみを修正してください」という見方ではなく、純粋に検査したシステムにどのような脆弱性が存在しているのか、そして、その脆弱性と「どのように付き合っていくのか」のお手伝いをするものなのだ。

報告、それは脆弱性検査の「序章」 (3/3)：セキュリティ対策の「ある視点」（15） - ＠IT