47.2.2. アセスメントとテストの定義

脆弱性アセスメントは、外観と内部に の 2 つのタイプ に 分割できます。

脆弱性アセスメントの外観をご利用になれば、外部からシステムに攻撃を試みます。会社を外から見ることで、クラッカーの視点に立つことができます。一般にルーティング可能な IP アドレス、DMZ にあるシステム、ファイアウォールの外部インターフェイスなど、クラッカーが目を付けるものに着目します。DMZ は非武装地帯 (demilitarized zone) を表し、企業のプライベート LAN などの信頼できる内部ネットワークと、公的なインターネットなどの信頼できない外部ネットワークの間にあるコンピューターまたは小さなサブネットワークに相当します。通常、DMZ には、Web (HTTP)サーバー、FTP サーバー、SMTP (e-mail)サーバー、DNS サーバーなどのインターネットトラフィックにアクセスできるデバイスが含まれます。

脆弱性アセスメントの内部を見ると、内部にあり、ステータスが信頼できるため、メリットがあります。内部からの視点は、実行者やその同僚がシステムにログオンした時点で得られるものです。プリントサーバー、ファイルサーバー、データベースなどのリソースを見ることができます。

これら 2 種類の脆弱性アセスメントには大きな違いがあります。会社の内部により、外部の権限よりも多くの権限が昇格されます。現在、ほとんどの組織では、侵入者に欠けるようにセキュリティーが設定されています。組織の内部（部門ファイアウォール、ユーザーレベルのアクセス制御、内部リソースに対する認証手順など）を保護するために、ほとんど行われていません。また、一般的にほとんどのシステムは社内にあるため、内部からの方がより多くのリソースを確認できます。会社外で自分で設定すると、すぐに信頼できない状態になります。通常、外部から利用できるシステムやリソースは、非常に限られたものになります。

脆弱性アセスメントと 侵入テスト の違いを考えてみましょう。脆弱性アセスメントを、侵入テストの第一歩と捉えてください。このアセスメントで得られる情報は、その後のテストで使用します。アセスメントはホールと潜在的な脆弱性をチェックしていますが、侵入テストでは実際に発見を悪用しようとします。

ネットワークインフラストラクチャーのアセスメントは動的なプロセスです。セキュリティー (情報セキュリティーおよび物理的なセキュリティー) は動的なものです。アセスメントを実施することで概要が明らかになり、誤検出 (False positives) および検出漏れ (False negatives) が示される場合があります。

セキュリティー管理者の力量は、使用するツールとその管理者が有する知識で決まります。現在使用できるアセスメントツールのいずれかを選び、それらをシステムに対して実行すると、ほぼ間違いなく誤検出がいくつか見つかります。プログラム障害でもユーザーエラーでも、結果は同じです。このツールは、実際に存在しない脆弱性を見つける可能性があります（誤検出）。または、ツールが実際に存在する脆弱性が検出されない可能性があります（負の値）。

脆弱性アセスメントと侵入テストの違いが定義されたところで、新たなベストプラクティスの一環として侵入テストを実施する前に、アセスメントの結果を注意深く確認し、検討してみましょう。

脆弱性アセスメントの実施には、以下のような利点があります。