システムやネットワーク、コンピュータの安全性をチェックするための行われるのがペネトレーションテストです。サイバー攻撃に対するセキュリティ対策が実際に有効かどうかを検証することは、システムの安全性評価を行うために重要なものです。
ここでは、ペネトレーションテストに関する基本的な情報、脆弱性診断との違いなどについて紹介します。
ペネトレーションテストとは、セキュリティの観点からシステムの安全性をチェックするサービスです。 英語の「ペネトレーション(penetration)」は「侵入」「貫通」を意味し、日本では「侵入テスト」とも呼ばれています。
実際の攻撃者と同様の手口でシステムに侵入を試み、システムが実際の攻撃にどの程度耐えられるかを評価し、その過程でシステムの脆弱性を明らかにします。
ペネトレーションテストと脆弱性診断は、両方ともシステムのセキュリティ上の弱点を明らかにするための手法です。ただし、その方法と目的に大きな違いがあります。
つまり、ペネトレーションテストはセキュリティ上の問題がどの程度深刻な影響を及ぼすかを評価し、脆弱性診断はシステム内に存在する可能性のあるセキュリティ上の弱点を特定することに重きを置いています。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
ペネトレーションテストの最大のメリットは、実際の攻撃シナリオを再現することで、システムのセキュリティレベルを具体的に把握できる点です。
また、攻撃者が情報窃取や改ざんや妨害などの攻撃を達成できるか検証することで、具体的に防御策を立てることが可能となります。
実際にシステムへの侵入を試みるペネトレーションテストは、テスト対象のシステム、ネットワーク構成に合わせたテストを行うことが出来ます。
また、テストですから安全な環境で実施でき、開発時に想定できなかった脆弱性が見つかる可能性もあります。
システムに侵入するだけでなく、システム侵入後に被害の拡大を防止できるかどうか、というところまで診断できるのもペネトレーションテストのメリットです。
ペネトレーションテストはシナリオに基づいて実施され、テスト後には報告書を作成します。報告書ではシステムの対策状態、脆弱性が可視化でき、今後どのような対応を行うべきかが明確になります。
一般的な脆弱性だけでなく、システム固有の脆弱性も検証でき、あるシステムでは防御できたがWEBアプリケーションで突破された、というケースも可視化できるでしょう。
ペネトレーションテストは専門的な知識と技術を必要とし、その実施には一定のコストがかかることが一般的です。また、テストの範囲が限定的であるため、全ての脆弱性を発見することは難しいという点もデメリットとして挙げられます。
ペネトレーションテストは手動で行う場合テスト実施者の実績や経験、スキルが求められます。攻撃や侵入ができなかった原因がテスト実施者の技術が劣っていることによるのであれば、更に高いスキルを持った攻撃者に侵入を許してしまうリスクがあります。
ツールを用いたテストを行う場合も、その種類や操作方法によって得られる成果が変わってくるでしょう。コストだけがかかって正確な結果が得られないとなれば意味がありません。ペネトレーションを依頼する企業は、十分な実績があるところを選ぶようにしたいですね。
大規模なシステムのテストになると、テストにかかる日数も大きく変わってきます。専門家をアサインする人件費、テストにかかる手間が増えるなど、手動テストでは大きなコストがかかる恐れがあります。
ペネトレーションテストを行う際には、どのくらいの時間がかかるのか事前の確認が欠かせないでしょう。そして、見積もりを確認し、自社の予算に応じた対応をとってくれる企業を選ぶと良いでしょう。
ペネトレーションテストでは、実際の攻撃者がどのようにシステムに侵入しようとするかを理解し、それに対する防御策を立てることができるます。そのため、特に情報セキュリティが重要な組織におすすめです。例えば、金融機関や医療機関、政府機関など、大量の機密情報を扱う組織では、ペネトレーションテストによるセキュリティ評価は必須と言えるでしょう。
新たなシステムを導入する際やシステムの改修を行う前にも、ペネトレーションテストを行い、未知の脆弱性を事前に発見することで、リスクを最小限に抑えることが可能となります。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス