IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

Inst. Tech View

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第1回 ペネトレーションテスト 2011年4月

 今回から始まったこの企画。CTC教育サービスのインストラクター陣が、様々な IT技術について最新動向や重要キーワードをテーマにコラム形式で紹介します。

 最近のITクラウド化や情勢不安などを理由に、セキュリティに対して再度注目が集まっています。第1回目となる今回は、セキュリティ分野において是非とも理解しておきたい"ペネトレーションテスト"がテーマです。
 ペネトレーションテスト(penetration test)とは、ネットワーク接続されたコンピュータに対して様々なツールを使用して攻撃や侵入行為を実際に行い、システムに既知の脆弱性がないかをテストする手法のことです。情報漏洩や不正アクセスなど、情報セキュリティ関連の事故・事件が増えている昨今、実際にシステムへの侵入を試みるペネトレーションテストの知識は、 ITエンジニアにとって必要不可欠なものになりつつあります。

 今回は、ペネトレーションテストで使用するツールについて前編と後編に分けて紹介します。前編では事前調査、権限取得のペネトレーションテストで使用されるツールを、後編では無線LAN環境のペネトレーションテストで使用されるツールを紹介します。

 不正侵入行為は大きく事前調査、権限取得、不正行為、後処理の4つのプロセスに分けることが出来ます。ペネトレーションテストで使用されるツールは様々存在しますが、今回は事前調査で使用される「Nmap」、パスワード解析(権限取得)で使用される「John the ripper」を紹介します。

  • 「Nmap」はポート・スキャンツールで、稼動サーバとそのサーバが提供しているサービス(TCPまたはUDPポート)やOSの種類を検出します。
  • 「John the ripper」はパスワードクラックツールで、パスワードファイルに記述されている暗号化されたパスワードを解析し、元のパスワードを検出します。

 これらのツールはフリーソフトとしてインターネット上に公開されていますので誰でも簡単に入手および使用できますが、効果的に使いこなすためにはある程度の知識が必要といえるでしょう。
 例えば、TCP FINスキャンを実行した場合、WindowsOSとLinuxOSで同じ応答情報が返ってくるのでしょうか? それとも異なる応答情報が返ってくるのでしょうか? パスワード解析手法の種類は1つ? 解読方法はどのような方法があるの? 使用するツールは何に対応しているの? など、システムの脆弱性を検査するためにはツールの使用方法だけではなく、その原理や動作についてもしっかりと理解する必要があります。

 CTC教育サービスが提供する「セキュリティ」関連コースでは、これらのツールを実際に使い動作原理や効果的な使用方法などについて学習することで、ペネトレーションテストに対してより深く理解することができます。

 >> セキュリティの関連コース一覧

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート