脆弱性診断と似たセキュリティテストにペネトレーションテストがあります。どちらか一方を実施するのではなく、組み合わせて実施することが大切です。ここでは、脆弱性診断とペネトレーションテストの違いについて解説します。目的や手法の違いを理解して、適切なテストを実施しましょう。
脆弱性診断は、OSやネットワーク環境、Webアプリケーション、クラウドなどの脆弱性を確認するために行われるテストです。脆弱性は、情報セキュリティとしての弱点箇所のこと。セキュリティの欠陥を網羅的に調査するのが脆弱性診断です。
脆弱性診断は、ツールを使用して網羅的に自動診断する方法と、専門家が手動で脆弱性を診断する2種類があります。また、Webアプリやスマートフォンアプリを調査するアプリケーション診断とクラウドサービスやネットワークなどを調査するプラットフォーム診断があります。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
ペネトレーションテストは、サイバー攻撃の専門家が攻撃者視点行う侵入テストです。攻撃者が目的とする行為が実行できてしまうかを確認します。サイバー攻撃の侵入経路となり得る脆弱性から実際に侵入を試みるテストです。
企業の内部に置かれているシステムか、外部に置かれているシステムかによって、調査の種類が分かれています。従業員が使用するITインフラなどは内部ペネトレーションテスト、WebサービスやSNSなどは外部ペネトレーションテストです。それぞれ調査員によるツールと手動での診断を行います。
脆弱性診断の目的は、脆弱性とセキュリティ機能の不足を網羅的に調査することです。一方、ペネトレーションの目的は、明確な意図をもった攻撃者がその目的を達成できるかを検証すること。システムの理論上の不備を見つけるエンジニア視点のテストが脆弱性診断だとすると、攻撃者の視点で実際に攻撃できるのかをテストするのがペネトレーションです。
脆弱性診断でセキュリティの脆弱性が見つからなかったとしても、攻撃者目線では攻撃できる隙があるかもしれません。逆に、脆弱性はあっても攻撃者が攻撃を実行できないのであればその脆弱性に対する改善の優先順位は低いと考えられます。
どちらか一方のテストをすればいいのではなく、守る側と攻撃する側の両方からのテストを行うことが大切です。
脆弱性診断の調査対象は、指定されたWebアプリケーションやIPアドレスごとです。ガイドラインなどに従い実施します。定型的な調査方法が確立されているのが脆弱性診断の特徴です。
ペネトレーションは、組織が持つすべてのシステムや指定したシステムを全体的に調査します。手法は、実際の攻撃者が使用しているツールや脆弱性、ソーシャルエンジニアリングなどを利用して、一定期間内で目的を達成できるか試すというもの。作成した攻撃シナリオに合わせて、マルウェア的なプログラムを作成し、従業員を狙うこともあります。他にも、マルウェアに感染した従業員がすでにいるという想定で、内部ネットワークからテストを開始する方法など、調査手法はさまざまです。定型的な調査方法はありません。
調査結果に合わせた対応こそが、セキュリティテストで最も重要です。脆弱性診断では、発見された脆弱性やセキュリティ機能の不足の一覧を作成し、リスクの高い順に対応していきます。
ペネトレーションテストは、網羅的な脆弱性を調査するテストではありません。想定したシナリオで、攻撃者の目的達成につながる脆弱性や問題点がひとつでも見つかれば、それに対応するというアプローチを行います。
脆弱性診断では、発見した脆弱性をリスクの高いものから低いものまですべて一覧で報告します。一方、ペネトレーションテストでは、脆弱性を発見しても目的達成に関係がないリスクが低い場合は、報告書に記載しないことがあります。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス