How Pentesting-as-a-Service can Reduce Overall Security Costs
2024/03/28 BleepingComputer — アプリケーションやデータの安全性を維持する業務に携わっているなら、潜在的な弱点や脆弱性を特定する上での、ペネトレーション・テストの重要性を知っているだろう。しかし、古典的なペンテストにおいては、あなたの組織を不必要なリスクにさらす可能性があり、それと同時に、コストを押し上げる可能性があることは知らないかもしれない。その代わりとして、Web アプリケーション向けの PTaaS (Penetration Testing as a Service) が提供するのは、サイバー・セキュリティ向上と、保護強化と、コスト削減する方法となる。
従来からのペンテストという分類と、PTaaS の違いを深く理解し、レガシー・ペンテストの真のコストを探り、PTaaS を採用する多くの利点について洞察してほしい。
古典的な侵入テストは どのように機能するのか?
ペネトレーションテストまたはペンテストとは、ホワイトハット・ハッカーを採用することで、攻撃者に悪用される可能性のある潜在的なセキュリティ脆弱性を特定し、解決するための、認定された模擬サイバー攻撃のことである。
ペンテストは、Web アプリケーションのセキュリティ・スナップショットを明確にして、既存のセキュリティ対策の長所と短所を浮き 彫りにできる。そしてペンテストには、隠れたコストと潜在的なマイナス面もあります。
たとえば、古典的なペンテストは、週単位/日単位/時間単位でコードを公開する今日の組織の、DevOps プロセスに追いつくことができない。
つまり、ペンテスターのスケジュールに合わせて、開発プロセスを一時的に停止する必要が生じる。また、ペンテスターが脆弱性を特定した場合であっても、テスト完了後から長時間を経ても修正が行われず、本番コードに持続的なリスクが生じる。
PTaaS は どう違うのか?
従来のペンテストに代わるハイブリッドな PTaaS とは、オンデマンドのペンテストを提供する、クラウド・ネイティブの半自動サービスである。
PTaaS は、継続的なセキュリティ監視を提供し、本番コードの変更回数に関係なく、アプリケーションの安全性を維持する。
PTaaS の活用で可能になるのは、絶えず変化するサイバーセキュリティの課題への対処であり、それは DAST (Dynamic Application Security Testing) ツールの常時稼働の性質と、倫理的ハッカーの人間的な専門知識を組み合わせにより達成されるものだ。
古典的なペンテストの本当のコストは?
古典的なペンテストと PTaaS テストのコストを比較すると、伝統的なペンテストは魅力的な選択肢のように思えるかもしれない。
以下の例について考えてみよう。あるベンダーは、Web アプリのペンテストを $850/Day で、10日間にわたり実施するため、プロジェクト費用は $8,500 となる。合理的に聞こえるだろうか?
残念ながら、あなたの組織における、時間/専門知識/リソースのコストを加えると、ペンテストの本当のコストはもっと高くなる。ホワイトペーパー “Economics of Penetration Testing” からの仮定の数字を、しかし、現実的な数字を参照してみよう。
チームの時間を、$500/Day という名目で評価しすると、隠れたコストが大きく膨らむことが簡単にわかる:
テスト前
- ペンテストオファーの作成 (2日以上:$1,000)
- ベンダーの調査と契約交渉 (5日以上:$2,500)
- プロジェクトのスコープとスケジュール (1日以上:$500)
テスト後
- 侵入レポートのレビュー (3日以上:$1,500)
- 改善課題の作成 (2日以上:$1,000)
- 修復の実施 (10日以上:$5,000ドル)
上記の例では、あなたのチームが費やすコストは、最低でも $11,500 と評価され、1回あたりのペンテストの本当のコストは、少なくとも $20,000 ということになる。さらに言えば、以下のようなコスト増については、他の要因が考慮されていない:
- 社内の遅延:合意した期日に、ペンテスターは開始の準備を整えているが、あなたの組織は準備ができていない。
- パフォーマンスの中断:ペンテスターが不注意でサービスのパフォーマンスを中断させ、ビジネス上の苦情に対して、あなたのチームが対処する必要が生じる。
- スコープの変更:プロジェクトのスコープが途中で変更され、テストを再開する必要性が生じる。
- スケジューリングの衝突:ペンテスターのスケジュールに合わせるために、DevOps の期限とは関係のないところで、開発を一時中断する必要性が生じる。
PTaaSのコストメリット
古典的なペンテストに代わるものであり、包括的で費用対効果の高い方法として、PTaaS がある。PTaaS は、いくつかの利点を持つ、ハイブリッド・ソリューションを組織に提供する。
手動テスト:一部の PTaaS ソリューションは、自動スキャンに依存している。Oupost24 の SWAT ソリューションには、社内のペンテスターの専門家チームにより実施される、ピアレビューされたテストが含まれている。それにより、自動化されたスキャナーが見逃してしまう、ビジネスロジックのエラーやバックドアだけではなく、誤検知の可能性も減らすことが可能になる。
リアルタイム・テスト:PTaaS が提供するものには、今日のアジャイルな DevOps エクスペリエンスを、より忠実に反映するリアルタイムの継続的テストへのアクセスがある。総コストを厳密に管理しながら、オンデマンドでペンテストを実行できる。
迅速なデリバリー:古典的なペンテストは、確立するまでに数週間〜数ヶ月を要する場合がある。しかし、PTaaS テストは、数日以内にセットアップが完了するため、脆弱性の特定/修正を待つ必要がない。
ROI の向上:PTaaS のクラウド・ネイティブ・ペンテスト・アプローチは、従来のペンテスト・アプローチと比べて大幅な ROI を実現し、組織のセキュリティを向上させながら、総コストをコントロールすることが可能になる。
継続的なレポート: 一般的に、従来のペンテストでは “最終” レポートが作成され、テスト結果が組織に提供される。しかし、継続的な PTaaS テストでは、オンデマンドでレポートを作成できるため、いつでもセキュリティ状況を把握することが可能になる。
コラボレーションの強化: PTaaS を使用することで、DevOps 組織と SecOps 組織は、調査結果に関するコラボレーションを容易にし、組織におけるアプリケーションとデータの安全性を、維持するために協力できるようになる。
検証の改善:一般的に、古典的なペンテストでは、修復の検証がプロセスの一部にならない。その一方で、PTaaS では、レポートの推奨事項を実施した後に、修復の取り組みを検証できる。実施した変更が、セキュリティ上の懸念に対して、効果的に対処していることを確認/検証できる。
PTaaS ソリューションは、組織と予算を保護する
全体的なセキュリティコストを削減するために、従来のペンテストから PTaaS へと移行し、堅牢なテスト。ソリューションへと投資することを検討してほしい。
Web アプリケーションの、セキュリティ脆弱性に関するスナップショットを、1回に限定して提供する古典的なペンテストとは異なり、適切な PTaaS ソリューションでは、DevOps スケジュールに密接に対応し、潜在的なリスクを継続的に監視すること可能となる。
PTaaS ソリューションは、リアルタイムのテストを提供するため、より迅速にテストを実行することができる。したがって、検証の改善および、コラボレーションの強化、そして、ROI の向上が可能になる。PTaaS ソリューションを採用することで、ビジネスと予算を、より確実に守ることが可能になる。
DevSecOps として、自前でペンテストを行えるようにしようという、Oupost24 からの提案として捉えるべき記事だと思います。時期尚早なのか、いつ頃にパラダイムシフトが起こるのかと、いろいろと考えさせてくれます。また、PTaaS を提供する側のビジネスが、どのような利益をえることで、継続していけるのかなど、興味津々です。よろしければ、カテゴリ PenetrationTest を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.