フィジカルペネトレーションテスト ふぃじかるぺねとれーしょんてすと
簡単に言うとこんな感じ!
「本当に不審者が侵入できるか?」を専門家が実際に試してみるテストだよ!鍵の強さや警備員の対応、入館ゲートの突破しやすさなどを体当たりで検証して、建物の抜け穴を洗い出すんだ。デジタルだけじゃなく、リアルな場所の安全も守るってこと!
フィジカルペネトレーションテストとは
フィジカルペネトレーションテスト(物理侵入テスト)とは、セキュリティ専門家が「攻撃者」の役を演じ、実際に建物・施設・データセンターなどへの不正侵入を試みることで、物理的なセキュリティの弱点(脆弱性)を洗い出す評価手法です。サイバー攻撃への対策が進む一方で、「建物に入れてしまえば何でもできる」というリアルな脅威を可視化することが目的です。
一般的なペネトレーションテスト(ペンテスト)がネットワークやシステムへのデジタル的な侵入を試みるのに対し、フィジカルペネトレーションテストは錠前の突破・共連れ(尾行侵入)・なりすまし・偽バッジの使用など、現実の人間の行動を利用した手口に焦点を当てます。IT部門だけでなく、総務・施設管理・警備担当者も深く関わるテストです。
発注側のビジネスパーソンにとって重要なのは、このテストが「ハッカーに侵入される前に自分たちで先に試してみる」という予防的な取り組みである点です。テスト結果は経営判断に直結するリスクレポートとして活用でき、保険審査や取引先へのセキュリティ証明にも役立ちます。
テストで確認する対象と手口
フィジカルペネトレーションテストでは、以下のような観点から施設のセキュリティを評価します。
| 評価カテゴリ | 具体的な確認内容 | 代表的な手口 |
|---|---|---|
| 入退館管理 | 入館ゲート・受付の突破可否 | 共連れ( tailgating)・偽バッジ |
| 錠前・物理障壁 | 鍵・ドアの堅牢性 | ロックピッキング・バンピング |
| 監視カメラ・センサー | 死角の有無・録画保存状況 | 死角からの進入・センサー無効化 |
| 警備員・受付スタッフ | 不審者への声かけ対応 | なりすまし・権威を装う演技 |
| 内部エリア | サーバー室・重要書類の保護状況 | 清掃員や業者を装った侵入 |
| 情報漏えい経路 | 書類の放置・画面の覗き見リスク | ショルダーサーフィン・ゴミ漁り |
共連れ(テールゲーティング)とは
共連れとは、正規の入館者の後ろにすっとついていき、ゲートや扉が閉まる前に入ってしまう手口です。「荷物が多そうな人」「手が塞がっている人」の後ろに続くだけで、認証なしで入れてしまうことがあります。「ドアを押さえてあげる親切心」が最大の弱点になるんです。
ソーシャルエンジニアリングとの組み合わせ
フィジカルペネトレーションテストは、ソーシャルエンジニアリング(人の心理を操って情報や権限を奪う手法)と組み合わせて実施されることが多いです。「IT保守業者です」「本社から来ました」と名乗るだけで、疑われずに入れてしまうケースは現実にも多く報告されています。
歴史と背景
- 1960〜70年代:軍・政府機関が施設の物理的な侵入耐性を評価する「レッドチーム演習」を実施し始める。フィジカルペンテストの原型
- 1980年代:銀行・金融機関が金庫室・ATMの物理セキュリティ評価を専門業者に依頼するようになる
- 2000年代:データセンターの急増にともない、サーバー室への物理侵入リスクが注目され、ITセキュリティ監査の一部として組み込まれ始める
- 2010年代:PCI DSS(クレジットカード情報の安全基準)やISO 27001が物理セキュリティの評価を要件に明記し、企業での実施が本格化
- 2015年〜:レッドチーム演習の普及とともに、デジタル侵入と物理侵入を組み合わせた統合型テストが主流になる
- 2020年代:テレワーク普及により「オフィス以外の拠点(支社・倉庫・工場)」の物理セキュリティ格差が問題視され、多拠点テストの需要が増加
デジタルペンテストとの違いと使い分け
デジタルのペネトレーションテストと物理のペネトレーションテストは、守る対象と手口が異なります。どちらか片方だけでは「穴」が残ります。
テスト実施の流れ
1. スコープ定義
└─ 対象施設・テスト期間・禁止事項を契約書に明記
2. 事前調査(OSINT)
└─ 公開情報(地図・SNS・求人票)から施設の構造・警備体制を把握
3. 侵入試行
└─ 共連れ・なりすまし・錠前解錠などを実際に実施
4. 内部調査
└─ 侵入後にどこまでアクセスできるか検証(PC操作・書類閲覧など)
5. 報告書作成
└─ 発見した脆弱性・リスクレベル・改善提案をまとめる
6. 再テスト(オプション)
└─ 対策後に再び試みて改善効果を確認発注時に確認すべきポイント
| 確認項目 | 理由 |
|---|---|
| 実施範囲(スコープ)の文書化 | 「どこまでやっていいか」を明記しないと法的トラブルに |
| 緊急連絡ルートの設定 | テスト中に警察に通報されても説明できるよう書面を携帯 |
| テスター資格・実績の確認 | 経験不足のテスターは事故リスクがある |
| 報告書の形式 | 経営層向け要約 + 技術担当向け詳細の2種類が理想 |
| 再テストの有無 | 対策の効果を検証するセットで発注すると費用対効果が高い |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS)。物理的セキュリティ管理(A.11)を要件として定める |
| PCI DSS v4.0 | クレジットカード情報保護基準。物理アクセス制御の定期テストを要求(要件9) |
| NIST SP 800-115 | 米国国立標準技術研究所による技術的情報セキュリティテストガイド。物理テストの手法を記載 |
| PTES(ペネトレーションテスト実行標準) | 業界ベースのペンテスト標準。物理セキュリティテストのフェーズを定義 |
関連用語
- ペネトレーションテスト — システムやネットワークへの侵入を試みてセキュリティの弱点を発見する手法
- レッドチーム演習 — 攻撃者役(レッドチーム)が組織全体を標的に総合的な攻撃シナリオを実施する訓練
- ソーシャルエンジニアリング — 人の心理や信頼を悪用して情報や権限を騙し取る攻撃手法
- 脆弱性評価 — システムや施設が抱えるセキュリティ上の弱点を体系的に洗い出す評価活動
- ISO 27001 — 情報セキュリティ管理の国際標準規格。物理セキュリティ要件を含む
- セキュリティ監査 — 組織のセキュリティ体制が基準や規則に準拠しているかを第三者が検証するプロセス
- ゼロトラスト — 「社内にいるから安全」という前提を捨て、常にすべてのアクセスを検証するセキュリティモデル
- インシデントレスポンス — セキュリティ事故が発生した際の初動対応・封じ込め・復旧までの一連の対処手順