この記事で学べること
・TLPTとは何か
・TLPTとペネトレーションテスト、脆弱性診断の違い
こんにちは、Melaaと申します!
この度、NTT West-CIRTのQiitaを開設いたしました。僭越ながら、トップバッターを務めさせていただきますこととなりましたので、皆様温かい目で見守っていただきますよう、切実にお願いいたします!
目次
はじめに
私がレッドチームに所属した時、「TLPT」という単語をひっきりなしに耳にすることとなりました。そもそも、「TLPT」って何?と思い調べてみるも、言葉の定義を辞書通りに紹介しているサイトばかりで、なかなか「普通のペネトレーションテストと具体的に何が違うの?」という疑問を解消できる説明に出会えませんでした。
最近、やっと「TLPT」というものについて、自分で言語化出来るところまで理解できた(と思っている)ため、記事に起こそうと思います。
TLPT (Threat-Led Penetration Testing)
辞書通りの説明をすると、日本語では脅威ベースのペネトレーションテストと訳され、オリジナルの攻撃シナリオに沿って擬似サイバー攻撃を行うことで、セキュリティ耐性や攻撃による想定被害を評価するテスト手法のことです。
似たようなテスト手法として、ペネトレーションテストと脆弱性診断があります。
| テスト手法 | 目的 | 実施方法 | 網羅性 | コスト | 結果の信頼度 |
|---|---|---|---|---|---|
| TLPT | セキュリティ耐性や想定被害の評価 | テスト対象の種類や特性に合わせたオリジナルの攻撃シナリオに沿って疑似サイバー攻撃を実施 | △ | △ | ◎ |
| ペネトレーションテスト | セキュリティ耐性や想定被害の評価 | 一般的に流行している攻撃手法を用いて疑似サイバー攻撃を実施 | △ | ○ | ○ |
| 脆弱性診断 | システムが持つ脆弱性の洗い出し | ツールやチートシートを用いて網羅的に脆弱性の有無を確認 | ◎ | ◎ | △ |
TLPTとペネトレーションテストの違い
TLPTが通常のペネトレーションと決定的に異なるのは、"オリジナルの攻撃シナリオに沿って"という部分です。TLPTでは、事前にテスト対象の調査を行い、実際の攻撃者がどのような攻撃を行うか想定し、テスト対象毎にオリジナルの攻撃シナリオを作成します。
ペネトレーションテストとは
ペネトレーションテストは、疑似サイバー攻撃を行うことでセキュリティ耐性や攻撃による想定被害を評価するテスト手法のことです。この時、攻撃手法として、一般的に流行っている攻撃であったり、昔から有名な攻撃手法が採用されることが多いです。
TLPTと違い、テスト対象に関わらず同じ攻撃手法を用いるため、コストがかからない反面、システムや組織の特性に合わないテストとなってしまう可能性があります。
脆弱性診断とは
ペネトレーションテストとよく比較されるモノとして、脆弱性診断が挙げられます。脆弱性診断はTLPTやペネトレーションとはそもそも目的が違い、システムが持つ脆弱性を洗い出すために行われます。そのため、攻撃による被害の大きさは考慮せず、とにかく網羅的に脆弱性の有無を確認する手法となります。
脆弱性診断を受けたシステムの管理者は「脆弱性が存在する≠実被害がある」ということを理解し、セキュリティ対策実施に向けて脆弱性によるリスクの評価を行う必要があります。
TLPTは実被害を想定したセキュリティ耐性の評価に最適
TLPTは、ペネトレーションテストや脆弱性診断と比べて、よりテスト対象の種類や特性に合ったセキュリティ耐性の評価を行える手法となっております。
手間や時間などコストは大きくなってしまいますが、その分効果は十二分に期待できます。特に機密情報を取り扱うような組織では、組織の特性に合わせた巧妙な手口の攻撃を受ける可能性が高くなるため、TLPTの実施に向いているといえるでしょう。
以上、TLPTについて自分なりに解説していきました。今まで曖昧な理解のまま止まっていた同志がいらっしゃいましたら、この記事を読むことを理解の一助としていただければ幸いです。
参考にしたサイト