セキュリティのチェックができるペネトレーションテストとは何か【その1】

セキュリティのチェックができるペネトレーションテストとは何か【その1】
基本情報技術者試験の試験対策はこちら>>

新しいシステムを開発したら、確認しておきたいのがセキュリティです。
そこで今回は、ぜひ行いたいセキュリティ対策としてペネトレーションテスト(侵入テスト)をご紹介します。
ペネトレーションテストとは何か、脆弱性診断との違いについてまとめました。

ペネトレーションテストとは?

ペネトレーションテストは、日本語では「侵入テスト」と訳されます。
「ペンテスト」と記載されることもあります。

通信ネットワークによって外部と接続されたコンピュータの安全性を調査するテストのひとつで、実際にある侵入・攻撃方法を用いて調査します。
ネットワークやシステムの脆弱性を発見するために行われ、システム全体の耐性を確認します。
そして侵入できてしまった場合には、被害拡散リスクの評価などを行います。

ペネトレーションテストの必要性とは

システムを実際に公開・運用する前に、このペネトレーションテストを行っておく必要があります。
それは実際に攻撃を体験することで、攻撃者がどのような手段を用いて攻撃してくるかを想定でき、それに合わせた防御方法を構築できるからです。
またシステムに侵入してどんな情報を得られるのか、その攻撃にどれくらい耐えられるのか、どれほどの被害があるのかなども確認できます。

脆弱性診断との違い

セキュリティのチェックができるペネトレーションテストとは何か【その1】のイメージ

ペネトレーションテストと同じくセキュリティをチェックする診断として「脆弱性診断」があります。
この2つは似ていますが、目的やアプローチ方法などに明確な違いが存在します。

・脆弱性診断

脆弱性診断は、システムの脆弱性を網羅的に洗い出すことが目的です。
また情報セキュリティの基準や規格と照らし合わせて、安全性を確認します。
アプローチはベースラインアプローチを行い、個別の脆弱性をリストにまとめます。

・ペネトレーションテスト

ペネトレーションテストは攻撃対象がどのような攻撃を行い、目的を達成できるかどうかを確認するために行います。
さらに攻撃者にとって狙いやすいセキュリティの欠陥がないかどうかを確認します。
そのため脆弱性診断のような侵害要因となる問題はペネトレーションテストに含まれていません。
アプローチはリスクベースアプローチを行い、攻撃シナリオとその検証結果をまとめることです。

このように目的やアプローチ方法が異なるので目的に応じて使い分けたり、組み合わせて使ったりすることが大切です。

まとめ

ペネトレーションテストはシステムのセキュリティを確かめるためにはぜひ行っておきたいテストのひとつです。
ペネトレーションテストで問題点を洗い出し、システムにどんなリスクがあるのか見極めることで最終的な損失を減らすことに繋がります。

ネットワーク・データベース・クラウド・サーバ案件多数! インフラエンジニアの転職なら「FEnet インフラ」

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。