8.2. 査定を決定してテストする

脆弱性の査定は2つのタイプに別けることができます。外部からのルックインと内部のルックアラウンド です。

外部からのルックイン脆弱性査定の実施とは、外部からシステムを侵害しようと試みることです。企業に対する外部者になり、クラッカーの視点でとらえます。クラッカーが見るところをさがします — 公的にルート可能なIPアドレス、 DMZに あるシステム、ファイアウォール外部のインターフェース、その他。 DMZ とは「demilitarized zone」(不戦地区)の略で、企業のLANなどの信頼できる 内部ネットワークと公共インターネットなどの信頼できない外部ネットワークの間にあるコンピュータ又は小規模のサブネットワークに相当します。通常、DMZ には、 Web (HTTP )サーバー、FTP サーバー、SMTP (e-mail)サーバー、及びDNS サーバーなど インターネット通信にアクセス可能なデバイスが含まれます。

内部ルックアラウンド脆弱性査定の実施では、実施者が内部者であり信頼できるステータスを与えられるので優位な立場になります。自分と同僚がシステムにログオンしている視点から見ることになります。プリントサーバー、ファイルサーバー、データベース、その他のリソースなどを見ます。

この2つの脆弱性査定には顕著な違いがあります。企業の内部者としての査定は特権を与えられることになります — 外部者と比べて優位になります。今日でもいまだほとんどの企業では、外からの侵入者を防ぐというような方法でセキュリティが 設定されます。ところが、企業や組織の内部の安全を確保すると言う方法はほとんど 採られていません(部門別ファイアウォール、ユーザーレベルのアクセス制御、内部 リソースの認証手続き、その他)。概して、ほとんどのシステムは企業に対して内部側となるので内部ルックアラウンドの時にはより多くのリソースがあります。外部者として自分を設定したら、直ちに信頼できないというステータスが与えられます。一般的に、外部から利用可能となるシステムとリソースは非常に限られています。

脆弱性の査定と侵入力テストの違いを考慮して下さい。。 脆弱性の査定を侵入力テストへの最初のステップと考えます。査定で拾い集めてきた 情報はテストをする時に使われます。査定が穴開きや可能性のある脆弱性をチェック するのに対し、侵入力テストは実際にこれらの調査結果に対して不正アクセスを 試みます。

ネットワークのインフラストラクチャ査定は動的なプロセスです。 セキュリティは、情報と物理的の両方とも、動的です。 査定の実施は、false positive と false negative で表される概要を表示します。

セキュリティ管理者の仕事は使用するツールや自分の知識に依存します。現在、利用可能な査定ツールは何でも利用して、システムで実行します。少なくともいくつかの疑似症状(false positive)があることがほぼ確実になります。プログラムの 欠陥かユーザーの誤りによるものか関係なく、結果は同じです。ツールは現実には存在しない(false positive)脆弱性を発見するかもしれません。また悪くすると、ツールが実際に存在する(false negative)脆弱性を発見しないかもしれません。

さて、脆弱性の査定と侵入力テストの違いが定義されたところで、新しい最適な実行手段としての侵入力テストを開始する前に、査定の結果を注意深く見直してみましょう。

	警告
	業務リソース上で脆弱性への不正アクセスを試みるのは、 システムとネットワークの生産性と効率性に対して逆効果となり得ます。

以下の一覧は脆弱性の査定を実施することで利点となることをいくつかあげています。

• 情報セキュリティに先を見越した焦点を作成する

• クラッカーが見つける前に可能性のある不正操作を発見

• システムが更新され、パッチが当てられた状態になります

• スタッフの専門的知識の発達を促進、援助する

• 財政的な損失と否定的なパブリシティを緩和します