Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ 一覧を見る →
検索

倫理的ハッキング:ITとは何か&例

更新済み: 2024年08月30日 読了目安時間: ~

トピック

General Web, Threat Detection, Cybersecurity, Security

目次

 

この記事は機械翻訳されました。

 

倫理的ハッカーとは、潜在的なセキュリティの脆弱性を特定するために、ネットワーク、システム、アプリケーション(アプリケーション)、データ、またはデバイスへの不正アクセスを試みるセキュリティ専門家です。

倫理的ハッキングは、サイバー攻撃が発生する前にこれらの問題を修正するために、コンピューターネットワークまたはシステムの潜在的な弱点を見つけて悪用する手段です。

倫理的なハッカーは、悪意のあるハッカーがシステムを侵害しようとするのと同じルートをたどります。違いは、彼らが正当な目的のためにそうしているのに対し、「ブラックハット」ハッカーはサイバー犯罪を犯すためにそうしているということです。

倫理的ハッキングは、組織のインフラストラクチャ、システム、またはアプリケーション(アプリケーション)内の潜在的な脆弱性を保護することにより、侵害やサイバー攻撃を防ぐことができます。

エシカルハッキングとは?

倫理的ハッキングは、システムまたはコンピューターネットワークにセキュリティの脆弱性があるかどうかを見つけて判断するための積極的な手段です。倫理的なハッカーは、ホワイトハットハッカーとも呼ばれ、潜在的なセキュリティリスクを特定して修正するために、従来のハッキング方法を使用してシステムを漏洩/侵害しようとするセキュリティ専門家です。

倫理的ハッキングでは、多くの場合、悪意のある人物や悪意のある人物と同じ手法の多くを使用して、特権付き情報やシステムへのアクセスを取得および維持します。 倫理的なハッカーは、多くの場合、システムまたはアプリケーション(アプリケーション)がどこでどのように侵害または攻撃される可能性があるかを判断するために、サイバー犯罪者のように考える任務を負っています。

倫理的なハッキングには、次のようなものが含まれます。

  • 組織のシステムやネットワークの脆弱性やセキュリティ上の弱点を特定する
  • サイバー攻撃を防止し、悪意のあるサイバー犯罪者が機密性の高い特権付きデータや情報にアクセスして盗むのを防ぎます
  • 潜在的なセキュリティの弱点を修正し、脆弱性を強化するためのセキュリティ戦略の設計と実装
  • ネットワークを保護して、起こりうるセキュリティ侵害を抑止する
  • 資産と情報を保護し、組織への信頼を浸透させる

基本的に、倫理的なハッキングとは、組織のサイバーセキュリティをテストし強化するために、システムやコンピューターに合法的に侵入することです。

倫理的ハッキングの主要な概念

倫理的なハッカーは、組織が彼らに課している課題の承認された範囲内にとどまるために、特定のプロトコルに従う必要があります。概念には、次のものがあります。

  1. 合法的なままで、承認を得てください。 倫理的ハッキングでは、ハッキングが実行される前に、組織内の適切な関係者によってセキュリティ評価が承認される必要があります。
  2. スコープは明確に定義する必要があります。 組織は、倫理的なハッカーが割り当ての範囲が何であるか、そして合法的で意図した評価の範囲内で維持する方法を正確に理解できるように、境界を設定する必要があります。
  3. データの機密性を尊重する必要があります。 倫理的なハッキングは機密情報に触れることが多く、倫理的なハッカーはこのデータを慎重に扱う必要があります。多くの場合、組織は倫理的なハッカーに秘密保持契約に署名し、評価を実行する前に利用規約を設定することに同意するように要求します。
  4. 脆弱性が報告されます。 倫理的なハッキングによって明らかになったセキュリティの脆弱性やリスク要因は、組織に報告する必要があります。
  5. システムのセキュリティ保護に関するアドバイスを提供します。 脆弱性が明らかになったら、倫理的なハッカーは、これらの問題を修正し、潜在的な侵害や将来の攻撃からシステムをより安全にする方法についてのオプションを提示する必要があります。

ハッカーの種類

ハッカーには、ホワイトハットハッカー、ブラックハットハッカー、グレーハットハッカーの3つの主要なタイプがあります。 あまり知られていないレッドハットハッカー、グリーンハットハッカー、ブルーハットハッカーもいます。

  • White hat ハッカー:この倫理的なハッカーは、ネットワーク、システム、アプリケーション(アプリケーション)、デバイス、またはプログラムを合法的に攻撃して潜在的な脆弱性を見つけて公開することを目的とした、雇われたサイバーセキュリティの専門家です。 ホワイトハットハッカーは、組織と協力してサイバーセキュリティ対策を改善します。
  • Black hat ハッカー: これらのハッカーは悪意を持っており、セキュリティシステムを侵害し、多くの場合、サイバー犯罪のフォームを犯します。 ブラックハットハッカーは、データを盗んだり、システムを混乱させたり、スパイ活動を行ったり、物を破壊したりするために、システムに不法に侵入して大混乱を引き起こします。
  • グレイハットハッカー: このタイプのハッカーは、ブラックハットハッカーとホワイトハットハッカーの中間にいます。通常、彼らは最初の悪意を持っていません。しかし、彼らはまた、違法に、または組織の知らないうちに、潜在的な弱点を見つけるためにシステムや組織に侵入しようとしています。

脆弱性を見つけた場合、グレーハットハッカーは多くの場合、これを組織に報告し、問題を修正するための支払いを要求します。支払いが行われない場合、灰色の帽子ハッカーは悪意を持つ可能性があります。

  • Red hat ハッカー:自警団として分類されることが多いレッドハットハッカーは、ブラックハットハッカーの敵であり、彼らは彼らをシャットダウンしようとしてまっすぐに追いかけ、しばしば彼らのコンピューターやシステムを混乱させたり破壊したりします。
  • グリーンハットハッカー:これはシーンの新参者です。ITは、ハッキングのツールとテクニックを学んでいるが、教育と高度な技術スキルが不足している初心者です。
  • Blue hat ハッカー:ブルーハットハッカーには2つのタイプがあり、1つは復讐を動機とする初心者で、もう1つはソフトウェアの潜在的な脆弱性を見つけるために契約したセキュリティ専門家です。

倫理的ハッキングの例

倫理的なハッキングには、多くの場合、侵入テストまたは侵入テストのフォームが含まれます。 これは、システム、オペレーティングシステム、アプリケーション(アプリケーション)、サーバー、ネットワーク、プログラム、またはデバイスを侵害する試みです。 侵入テストには、内部テストまたは外部テスト、およびWebアプリケーション(アプリケーション)テストが含まれる場合があります。

外部テストでは、組織やシステムに侵入しようとする部外者として脆弱性をテストします。このタイプのテストでは、ファイアウォールが正しく構成されていない可能性がある問題、サードパーティのアプリケーション (アプリケーション) の問題、または E メール サーバーの弱点を探します。

内部テストでは、組織内で起こりうる問題を探しますが、多くの場合、ヒューマンエラーに関連しており、従業員はヒューマンエラーを使用します ヒューマンエラーは、組織やビジネスにとって最も一般的なサイバーセキュリティの脅威です。 これは、パスワードが脆弱であること、フィッシング詐欺やソーシャルエンジニアリング詐欺の脆弱性、システムやデバイスを更新するためのエラー が原因である可能性があります。 倫理的なハッカーは、従業員をおびき寄せ、潜在的なセキュリティの脆弱性を探す方法を探します。

Web アプリケーション(アプリケーション)テストは、Webサイトとアプリケーション(アプリケーション)の問題を探す倫理的ハッキングの一種です。 これにより、アプリケーション(アプリケーション)やWebサイトがデプロイされたり、稼働したりする前に、潜在的なバグやセキュリティ違反を見つけることができます。

倫理的ハッキングのフェーズ

倫理的ハッキングは、さまざまなツールと手法を使用します。IT部門は通常、システムやネットワークの侵害を試みるために、主に5つのフェーズをたどります。

倫理的ハッキングのフェーズは次のとおりです。

  1. 偵察:これは情報収集フェーズであり、ハッカーがターゲットのシステムを直接攻撃したり、侵害を試みたりすることはありません。それどころか、ハッカーはアクティブフットプリントとパッシブフットプリントの両方を通じて、ターゲットについてできるだけ多くの詳細を収集しようとしています。

アクティブフットプリントでは、ハッカーはツールを使用してターゲットのネットワークをスキャンします。パッシブフットプリントは、ターゲットと従業員のインターネットとソーシャルメディアアカウントを検索し、ターゲットに直接アクセスせずに情報を収集する方法を使用します。

  1. スキャニング:最初のステップで取得した情報は、ポートスキャナー、スイーパー、ネットワークマッパー、ダイヤラー、および脆弱性スキャナーを使用してネットワークの脆弱性をスキャンするために使用されます。倫理的ハッキングのこのフェーズは、ネットワークまたはシステムにアクセスして情報を見つける最も簡単な方法を探します。
  2. アクセスの取得:このフェーズでは、ハッカーは最初の2つのステップで取得したすべてのデータを使用して、必要な手段でターゲットのネットワーク、システム、またはアプリケーション(アプリケーション)に不正アクセスします。 これには、ソーシャルエンジニアリングやMetasploitなどのツールが使用されます。これは実際のハッキングフェーズであり、「システムを所有する」フェーズとも呼ばれます。
  3. ゾンビシステム:倫理的なハッカーがシステムにアクセスできるようになったら、目標はこのアクセスを維持し、レコードやデータベースを盗む、DDOS攻撃を開始する、システムを発射台として使用してインフラストラクチャをさらに悪用する、バックドアやトロイの木馬をインストールして認証情報や特権付き情報を盗む、ターゲットの知らないうちにできるだけ長くアクセスを維持するなどの悪意のある活動を進めることです。 現在「所有」されているシステムは、正当な担当者がITにアクセスできないようにさらに変更でき、ITをゾンビにすることができます。
  4. 証拠の削除:これは、ハッカーが追跡するものをクリアするフェーズであり、検出を回避するためにシステム内にいたすべての証拠を削除します。 ハッカーは、レジストリ値とログを編集、削除、または破損します。ハッカーは、ITが彼らにさかのぼることなく、サーバーへの接続を維持したいと考えています。

倫理的なハッキングと悪意のあるハッキングの違い

倫理的なハッカーは、合法的な方法で組織と協力して、セキュリティリスクと脆弱性を見つけようとしています。エシカルハッキングは、これらの潜在的な問題を組織にレポート機能させ、問題を解決するためのソリューションを提供し、漏れや弱点を塞ぐというものです。

全体として、倫理的なハッキングは、悪意のある人物が悪用する前に問題を見つけることにより、サイバー攻撃やセキュリティ侵害を防ぐのに役立ちます。

一方、悪意のあるハッキングは、違法で違法な目的で使用され、多くの場合、犯罪を犯すために使用されます。FBIの報告によると、サイバー犯罪は2020年にアメリカ人に42億ドル以上の損失をもたらしました。

悪意のあるハッカーは、システム、コンピューター、ネットワーク、またはアプリケーション(アプリケーション)に不正にアクセスし、このアクセスを使用して認証情報、機密情報、クラッシュシステム、マルウェアの挿入、またはその他の方法で大混乱を引き起こします。 悪意のあるハッカーは、金銭的または個人的な利益のために働いています。

倫理的なハッカーになるための要件

倫理的ハッカーには、侵入テスター、セキュリティアナリスト、脆弱性評価者、セキュリティコンサルタント、情報セキュリティマネージャー、認定倫理ハッカー(CEH)など、いくつかのキャリアパスがあります。

CEHの指定を受けるには、EC-CouncilからCEH v.11を取得する必要があります。次のスキルを持っている必要があります。

  • コンピュータシステムとネットワークに関する強力な実務知識
  • 情報セキュリティとそれぞれの原則の強固な基盤
  • 暗号化と暗号化技術の理解
  • 職業上の行動と倫理規定の遵守
  • サイバー攻撃の一般的な形態と対抗策・回避戦術に関する知識
  • Java、C、C++、Python、SQL、PHPなど、複数のコーディング言語に習熟している
  • Windows、Mac、Linuxなど、一般的に使用されるオペレーティングシステムのセキュリティプロトコルの理解
  • 倫理的ハッキングの概念、方法論、およびフェーズに関する知識
  • 悪意のある攻撃に対する予防、是正、および保護対策を実行する能力
  • 複数の種類のパスワードを識別して解読する機能
  • 許可を得て、システムやネットワークにハッキングして脆弱性を評価する能力

エシカルハッキングは、いくつかの異なる役職の選択肢がある成長分野です。通常、倫理的なハッカーは約6桁の数字を作ることができます。彼らは通常、少なくとも学士号を取得し、コンピューターおよびサイバーセキュリティの分野で数年の経験を持っています。

こちらの情報も併せてご活用ください

EC-Council CEH 認定 for ethical ハッカー以外にも、次のようないくつかのオプションがあります。

長期的には、倫理的なハッキングは、会社概要 と業界の時間、お金、そしてサイバー攻撃による潜在的な損害を元に戻す必要があるという恥ずかしさを節約できます。

倫理的なハッキングは、潜在的な侵害を防ぎ、サイバー防御を強化し、組織がそれぞれの業界で尊敬と信頼を得るのに役立ちます。顧客や投資家は、サイバーセキュリティを真剣に受け止め、機密性とデータの整合性の維持に努めていることを証明している組織と提携する可能性が高くなります。

倫理的なハッキングは、ネットワーク、システム、サーバー、デバイス、アプリケーション(アプリケーション)、およびプログラムを安全に保ち、悪意のある意図や攻撃から解放するための高度なセキュリティ対策を達成するための確実な方法を提供できます。

参考文献

人為的ミスが2021年の企業にとって#1のサイバーセキュリティの脅威である理由。(2021年2月)。ハッカーニュース

倫理的ハッキングの概念:調査。(2020年4月)。International Journal of Creative Research Thoughts(IJCRT)の翻訳がこれにあたる。

FBIは、COVID-19詐欺の統計を含む「Internet Crime Complaint Center 2020 Internet Crime Report」をリリースします。(2021年3月)。連邦捜査局(FBI)。

サイバーセキュリティコンサルタントのインタビュー。 (2018年1月)。米国労働統計局 (BLS)。

CompTIAセキュリティ+。 コンプティア。

CCNAセキュリティ。(2022年、シスコシステムズ株式会社

ペン-200。(2022年、OffSecサービスリミテッド。

GIAC 認定: The Highest Standard: Cyber Security 認定. (2022).GIACです。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ