米国で新しいタイプのペネトレーションテスト(システムに対する疑似攻撃テスト)が広がっている。外部のハッカーにシステムを疑似攻撃させて、脆弱性を見つけ出す。「クラウドソーシング」の仕組みをペネトレーションテストに持ち込んだ。米国防総省も2016年10月に採用している。

 ペネトレーションテストとは、システムに対する疑似攻撃を実施して、システムに存在する脆弱性などを見つけ出すものだ。通常はセキュリティ会社に所属する技術者が、顧客企業のシステムに対して疑似攻撃を仕掛ける。それが最近は、在野のセキュリティ研究者や「ホワイトハッカー」に疑似攻撃をさせるペネトレーションテストが登場しているのだ。

 そのようなペネトレーションテストを実施しているのが、シリコンバレーに拠点を置く米Synackだ。同社は米国家安全保障局(NSA)の職員だったJay Kaplan氏とMark Kuhr氏が2013年に起業したスタートアップで、同社が雇用するセキュリティ専門家に加えて、クラウドソーシング方式で外部から集めたハッカーが、企業や政府機関のシステムに疑似攻撃を仕掛ける。そうしてシステムに存在する脆弱性を見つけ出したり、セキュリティ上の問題点を指摘したりする(写真)。

写真●米SynackのSam Luganiプロダクトマーケティング担当ディレクター(左)
写真●米SynackのSam Luganiプロダクトマーケティング担当ディレクター(左)
[画像のクリックで拡大表示]

 外部のハッカーに依頼するペネトレーションテストは、「バグ報奨金制度」に似ているがあるが、大きな違いもある(関連記事:社外の力でセキュリティ強化、メーカーや金融に広がる「バグ報奨金制度」)。それはバグ報奨金制度で見つけられるのが、基本的に外部に公開されたシステムに存在するバグだけであるのに対して、Synackが提供するペネトレーションテストでは、内部のシステムにあるバグも見つけ出せることだ。外部のハッカーをファイアウォールの中に侵入させて、普段は外部からアクセスできないシステムまでチェックさせているためだ。

疑似攻撃の通信を監視して安全性確保

 Synackの特徴は、同社の顧客のシステムを疑似攻撃するための「プラットフォーム」をハッカーに公開していること。ハッカーはSynackが用意するペネトレーションテストのツール「Hyrda」を使用して、Synackの顧客企業のシステムの問題点を探し出す。ここでのポイントは、あらかじめSynackがハッカーの身元を確認している点と、ハッカーが実施した攻撃やそれに関連する全ての通信ををSynackが監視している点だ。

 ハッカーはSynackが用意する「LaunchPoint」というアクセスポイントを通じてのみ、顧客の内部ネットワークや内部システムにアクセスできる。このLaunchPointが疑似攻撃の詳細を監視しているので、ハッカーが疑似攻撃の際に顧客のシステムから情報を盗み出すといったことが起きないようになっている。