ペネトレーションテストとは?脆弱性診断との違いを徹底解説

システムに脆弱性が存在すると、機密情報の漏洩や金銭的な損失だけでなく、企業の信用にもかかわる重要な問題に発展することがあります。しかしながら、存在する脆弱性を自社内で効率良く検査するには、時間やコストがいくらあっても不十分です。そこで取り入れたいのがペネトレーションテストです。

ペネトレーションテストはセキュリティの専門家による攻撃者視点を取り入れたテスト手法です。セキュリティの検査には脆弱性診断もありますが、それとは少し異なります。今回はペネトレーションテストの概要を紹介し、脆弱性診断との違いについて詳しく解説していきます。

ペネトレーションテストとは

ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、様々な技術を駆使して侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかテストする手法のことを言います。

日本語では「侵入実験」や「侵入テスト」とも呼ばれることがあります。ペネトレーションテストに特化した無料ツールもあり、簡単なテストを実施することもできます。しかし、しっかりとしたテストを実施するには、ペネトレーションテストに特化したセキュリティ企業などに依頼することも必要です。

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断は、どちらもセキュリティ対策の一環として実施されるという共通点がありますが、その目的とテスト手法に大きな違いがあります。

ペネトレーションテストは、特定の意図をもつ攻撃者が攻撃に成功するかどうかを検証するテストです。検証対象のシステムの構成などに応じて、想定される攻撃のシナリオを作成し、実際に攻撃が成功するかどうかをテストします。システム全体を網羅的にテストするのではなく、特定の脆弱性や問題点を発見することを目的としています。

一方、脆弱性診断とはシステムに存在する脆弱性やセキュリティ的な不備を網羅的に検査します。アプリケーションやファイアウォール、ルーターやサーバーなどシステムやネットワーク内の潜在的な脆弱性の特定が目的です。そのため検査範囲はペネトレーションテストよりも広範囲なものであり、ツールなどを使って定型的な手法が使われることもあります。既知の脆弱性に対しては効果的ですが、ゼロデイのリスクの検出には向いていません。

ペネトレーションテストが攻撃を予防するためのものであるとすると、脆弱性診断は攻撃されるリスクを発見するためのものであると言えるでしょう。

ペネトレーションテストの方法

ペネトレーションテストを実施する企業や、使用するツールやサービスなどによって、方法は異なりますが、概ね以下のような流れでペネトレーションテストは実施されます。

1.ヒアリング・準備 テスト対象のシステムのネットワークの構成、個人情報や機密情報の保管状態、アクセスログなどの取得状況などを考慮し、どのような診断・テストを行うかシナリオを作成します。
2.攻撃・侵入テスト 作成したシナリオに従って攻撃・侵入を実施して、結果を記録します。自動的に行われるテストや、手動で行うテストや確認など様々な方法で攻撃・侵入を行います。
3.報告書の作成 テスト結果をまとめ、報告書を作成します。

テストにおける攻撃・侵入の方法は大きく分けて4つあります。

ホワイトボックステスト テスト対象のシステムの内部の構造を把握した上で、顧客に合わせた内容で行うテスト
ブラックボックステスト テスト対象のシステムの内部構造は考慮せずに、外部から把握できる機能を検証するテスト
外部ペネトレーションテスト 攻撃者がシステムの外部から攻撃してくることを想定したテスト
内部ペネトレーションテスト システムの内部にすでに攻撃者が侵入していることを想定したテスト

ヒアリング・準備段階でテストのシナリオを作成し、ホワイトボックステストやブラックボックステストを組み合わせて複合的にテストを実施します。

ペネトレーションテストの実施後に、テスト結果をまとめたレポートや報告書を作成します。攻撃に成功した回数や時間、権限の取得経路などをまとめたものです。明らかになった脆弱性に対して、具体的な対策方法などが提示されます。

ペネトレーションテストの価格

ペネトレーションテストは個人向けの無料で行えるツールもありますが、一般的にはペネトレーションテストを専門で行っている企業に依頼することが多いでしょう。テスト実施者のスキルやシナリオの内容によって、必要な費用は数十万円から数千万円規模になることもあります。

ペネトレーションテストの価格についてより詳しく知りたい方はこちらの記事をご覧ください。

ペネトレーションテストのメリット

ペネトレーションテストには以下の3つのメリットがあります。

実際にシステムに侵入できるか安全に調査できる

あくまでもテストとして侵入検査を行うため、安全な環境で調査できます。

システムの環境に合わせたテストが実施できる

テストの前に、システムやネットワーク構成などの環境を調査するため、テスト対象のシステムに応じたテストが実行できます。

テスト後に調査結果をまとめた報告書が得られる

ただテストを行うだけでなく、テストの実施者による報告書を作成してもらえる。脆弱性の内容や対策方法を得ることができるだけでなく、報告会が行われることもあります。

ペネトレーションテストのデメリット

ペネトレーションテストには以下の2つのデメリットがあります。

テストの内容によっては膨大なコストがかかる

テスト対象の規模の大きさや、テスト項目の多さによっては、膨大なコストがかかることがあります。

テスト実施者のスキルによって、成果が異なる

ペネトレーションテストの実施には高度なスキルが求められるため、テスト実施者のスキルやツールの操作方法の熟練度によって、検証される脆弱性や対策方法などの、テストの成果が異なることがあります。

ペネトレーションテストのメリットとデメリットについては、当サイトの別の記事にまとめてあります。ご参照ください。

ペネトレーションテストの注意点

ペネトレーションテストを実施する前に、どのような項目をテストし、どの程度まで脆弱性を探るのか、あらかじめ決めておくことが必要です。

またペネトレーションテストを専門で行うツールなどもありますが、ツールで明らかになった結果は、最終的には人間が判断することになります。

ペネトレーションテストはシステムの開発時に一度だけ実施すれば良いというものではありません。システムの改修や、使用しているソフトウェアのバージョンアップなど、システムの環境が変化したタイミングでの再実施も重要です。

またシステムへの攻撃手法も日々進化しています。定期的なペネトレーションテストの実施により、新しい攻撃手法への対策を講じることもできるのです。

まとめ

ペネトレーションテストの概要と脆弱性診断との違いについて紹介してきました。自社のセキュリティ対策としてどちらをやればいいのか、気になると思いますが、結論からすれば両方やることが推奨されます。しかし限られた予算でセキュリティ対策を行う必要がある担当者にとって、両方とも実施するのは難しいかもしれません。

システムの特徴や環境などを加味し、重視しているポイントなどを考慮することで、どちらを優先させるのか変わってきます。まずはテストの実施者と相談した上で、より効果的な方を選択することが重要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?