ドキュメント11.2.2. コンプライアンス侵入テスト
複雑さの順に次にくる評価の種類は、コンプライアンスベースの侵入テストです。これは、組織全体が遵守するコンプライアンスフレームワークに基づいて、政府および業界によって義務付けられた要件であるため、最も一般的な侵入テストです。
業界固有のコンプライアンスフレームワークは数多くありますが、最も一般的なのはおそらくペイメントカード業界データセキュリティ標準でしょう。16 PCI DSSは、カード会社が定めた、カード決済を扱う小売業者が遵守しなければならないフレームワークです。しかし、国防情報システム局(DIS)のセキュリティ技術実装ガイドなど、他にも多くの標準が存在します。17 (DISA STIG)、連邦リスクおよび承認管理プログラム18 (FedRAMP)、連邦情報セキュリティマネジメント法19 (FISMA)など。場合によっては、法人顧客が様々な理由から評価を依頼したり、最新の評価結果の閲覧を要求したりすることがある。アドホック評価か義務評価かに関わらず、こうした評価は総じて
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
コンプライアンスベースの侵入テスト、または単に「コンプライアンス評価」や「コンプライアンス チェック」と呼ばれます。
コンプライアンステストは多くの場合、脆弱性評価から始まります。PCIコンプライアンス監査の場合、20脆弱性評価は、適切に実施すれば、次のような基本要件のいくつかを満たすことができます。「2. システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しない」(例えば、 パスワード攻撃 メニューカテゴリ)、「11. セキュリティシステムとプロセスを定期的にテストする」( データベース評価 9. カード会員データへの物理的アクセスを制限する」や「12. 全従業員の情報セキュリティに関するポリシーを維持する」といった要件は、従来のツールベースの脆弱性評価には適しておらず、追加の創造性とテストが必要になります。
コンプライアンステストの一部の要素にKali Linuxを使用するのは一見簡単そうに思えるかもしれませんが、Kali Linuxはこうした環境に最適です。セキュリティ関連ツールが豊富であることに加え、オープンソースのDebian環境をベースに構築されているため、幅広いツールをインストールできます。使用しているコンプライアンスフレームワークから厳選したキーワードでパッケージマネージャーを検索すると、ほぼ確実に複数の結果が表示されます。現在、多くの組織がKali Linuxをまさにこうした種類の評価の標準プラットフォームとして利用しています。