はじめに

デジタル環境の複雑化と絶え間ないサイバー脅威の進化により、企業や組織はセキュリティを最優先課題としています。さらに、コンプライアンス要件が強化される中で、セキュリティの重要性は一層高まっています。このような時代の要請に応えるため、QueryPieチームは特権アクセス管理(Privileged Access Management, PAM)ソリューションの強力なセキュリティを実現することに全力を尽くしています。QueryPieのセキュリティ機能は、単なる製品の一部ではなく、製品開発の初期段階から最終リリースまで、セキュリティをコアバリューとして企業全体に深く浸透させた成果です。

この努力の一環として、QueryPieでは開発のあらゆる段階で徹底したセキュリティレビューを行うプロセスを確立し、製品の安全性を最大化しています。QueryPieのセキュリティチームは多角的な視点から脆弱性を特定するための体系的なプロセスを構築しており、その中でも特に重要なプロセスの1つがペネトレーションテストです。本記事では、QueryPieが実施しているペネトレーションテストプロセスと、その重要性について詳しくご紹介します。

QueryPieでは社内に専用のレッドチームを設置し、継続的な社内ペネトレーションテスト、バグ報奨プログラム（Bug Bounty Program）、外部の専門家によるペネトレーションテストコンサルティングを組み合わせて運用しています。このアプローチにより、それぞれのペネトレーションテスト手法の欠点を補い合い、バランスの取れたセキュリティプロセスを構築しています。

特に重要な手続きの一つが、新バージョンのリリースごとに実施される社内ペネトレーションテストです。このテストは、製品の安全性を確保する上で欠かせないものであり、このプロセスを通じて潜在的な脅威を迅速に特定し、解決することが可能です。さらに、QueryPieのバグ報奨金プログラムは、世界中のセキュリティ研究者や、QueryPieを積極的に利用するお客様が製品のセキュリティ向上に貢献する機会を提供しています。この取り組みを通じて、より信頼性が高く安全な製品をお客様にお届けし、恩返しをすることができます。最後に、外部のペネトレーションテスト専門家との協力も、セキュリティ検証において重要な役割を果たしています。外部専門家の多様な経験や視点を活用することで、社内では見落としがちな脆弱性に対応することが可能となります。

[QueryPieのマルチレイヤードセキュリティアプローチ]

• 社内ぺネトレーション攻撃: 組織内のセキュリティ専門家が製品の脆弱性を発見し、改善するために実施する内部セキュリティテスト

  • 専門性: 製品の内部構造とアーキテクチャに関する深い理解

  • 持続性: 新しいバージョンがリリースされるたびに繰り返しテストを実施

  • 迅速性: 社内チーム間の連携による迅速な脆弱性発見と対応

• バグ報奨プログラム: 外部のセキュリティ研究者やお客様が参加し、製品の脆弱性を発見・報告すると報酬を提供するプログラム

  • 多様性: 世界中のセキュリティ研究者やお客様の幅広い参加

  • 創造性: 想定外の攻撃手法や視点の提供

  • 経済性: 有効な脆弱性に報酬を支払うことで効率的なリソース活用

• 外部ペネトレーションテストコンサルティング: 独立したセキュリティ専門家による客観的なセキュリティテスト

  • 客観性: 独立した視点からの脆弱性分析

  • 最新性: 最新の脅威動向と技術を反映した攻撃シミュレーション

  • 信頼性: 外部専門家による認証済みのセキュリティ評価結果

なぜペネトレーションテストが重要なのか

自動化ツールだけでは、製品のプロセスやルールを悪用するような論理的脆弱性を検出することは不十分です。このような脆弱性を効果的に特定するためには、それぞれの弱点を補完し合う多様なセキュリティテストプロセスを確立する必要があります。

なぜQueryPieはこれほどまでにセキュリティの重要性を強調するのでしょうか？

原点に立ち返ると、PAM（特権アクセス管理）ソリューションは、さまざまなシステムやデータベースへの重要なアクセス権を管理することで、ゼロトラストセキュリティアーキテクチャを実現する上で極めて重要な役割を果たします。つまり、QueryPieが管理するデータやシステムが悪意のある攻撃者にさらされると、組織全体が深刻な脅威に直面する可能性があります。このような重大性から、ユーザーやお客様が信頼できる製品を提供することが最優先事項となっており、その結果、セキュリティ強化に継続的に取り組んでいます。QueryPieのチームは、お客様のデータとシステムを守ることは単なる責務ではなく、お客様に対する約束であると信じています。そのため、QueryPieはセキュリティに妥協することなく、徹底的な検証やペネトレーションテストを通じて、より堅牢な製品と環境を構築するために努力し続けます。

QueryPieのペネトレーションテストフレームワークと成熟度モデル

ではまず、QueryPieのペネトレーションテストプロセスとその成熟度レベルについて見ていきましょう。

[QueryPieのペネトレーションテストフレームワークとは？]

QueryPieは包括的なペネトレーションテストフレームワークを開発・運用しています。このフレームワークは、より体系的で徹底したペネトレーションテストを実施するために、世界的に認知されているNIST SP 800-115およびOWASP Testing Frameworkを基盤として設計されました。これにより、限られた社内モック攻撃の時間内でも脆弱性を効率的に検出・分析することが可能となります。

このフレームワークはペネトレーションテストのプロセスを標準化し、各段階での活動を明確に定義することで、一貫性のあるセキュリティ検証を実現します。これにより、QueryPieはすべての製品リリース時に高いセキュリティ水準を維持し、発見された脆弱性を迅速かつ効果的に解決することができます。QueryPieのペネトレーションテストフレームワークは以下の6つのステップで構成されています。

QueryPieペネトレーション成熟度モデルとは？

開発前段階におけるセキュリティレビューのプロセスが社内で安定化する中、以下のようなペネトレーション成熟度モデルを開発し、自社の現状を測定し、継続的に改善するための基準を確立しました。このモデルに基づいてQueryPieのペネトレーション成熟度を定量的・定性的に評価した結果、現在のレベルはProactive段階にあると判断しました。しかし、これに満足せず、さらなる向上を目指してOptimized段階への移行を進めています。現在、DevSecOpsパイプラインとの統合を進めており、これによりセキュリティを事後対応ではなく事前予防の観点から捉えることが可能となります。また、ペネトレーションテストの自動化とAIベースの脅威検出システムを組み合わせることで、セキュリティレビューおよび対応をより効率的かつ一貫して運用できるようになります。さらに、Optimized段階への進化は単なる技術的な進歩に留まりません。これは、QueryPieがお客様に最高レベルのセキュリティを提供し、製品の信頼性を最大限に高めるとともに、多様なセキュリティ脅威に迅速かつ先手を打って対応する体制を構築することを目的としています。

社内レッドチーム

レッドチームは内部ペネトレーションテストを含め、CI/CDパイプライン全体の段階での脆弱性(*CVE、CWE、CCE)を検査し、開発ライフサイクル全般にわたるセキュリティレビューおよびガイドを実施しています。また、すべての新バージョンリリース前にQAおよびバグバッシュ(バグを見つけること)とともに、以下のプロセスで進行します。

1. ペネトレーションテスト前事前レビュー: PMチームと新バージョンの主要機能および重要チェック事項を協議します。

2. ペネトレーションテスト実施: 事前レビューで導き出された主要機能を優先的にペネトレーションテストし、同時に全機能を再テストします。（2週間進行）

3. セキュリティチームによる内部レビュー: 発見された脆弱性について、まずセキュリティチーム内部で1次レビューを実施します。

4. 開発チームへの共有および担当者割り当て: 脆弱性情報を開発チームに共有し、詳細内容はJiraチケットを通じて担当者を指定し追跡管理を行います。

5. 脆弱性対策の確認: 脆弱性対策が完了すると、レッドチーム担当者が実行確認を行い、該当脆弱性チケットを完了処理します。

*CVE : Common Vulnerabilities and Exposures (共通脆弱性識別子)
*CWE : Common Weakness Enumeration (共通脆弱性タイプ一覧)
*CCE : Common Configuration Enumeration (共通セキュリティ設定一覧)

QueryPieレッドチームでは以下のツールおよび診断方法論を活用しています。この方法論を通じて、テストを標準化し、脆弱性の深刻度および優先順位を体系的に評価することで、効果的な対応策を準備しています。