ペネトレーションテストとは - SCSKセキュリティブログ

こんにちは、Cottiです。

ペネトレーションテストと脆弱性診断は比較されることもあり
何が違うの？一緒じゃないの？と思われている方も多いかもしれません。
そんなペネトレーションテストについて
今回は脆弱性診断との違いを中心にまとめました。

本記事の対象読者

・ペネトレーションテストに興味がある方
・情報処理やセキュリティの勉強をされている方
etc.

ペネトレーションテストとは、ネットワーク、サーバやシステムの脆弱性（＝セキュリティ上の欠陥や弱点）を検証するテスト手法の1つです。

ペンテストはペネトレーションテストの略称です。
また、ペネトレーション（penetration）は「侵入」という意味があるので
「侵入テスト」と呼ばれることもあります。

ペネトレーションテストは、想定される攻撃シナリオに沿って行われます。
専門の技術者（ペンテスター）がシステムに対してシナリオに沿った攻撃を行い、事前に設定したゴールを達成できるか検証します。

ペネトレーションテストと脆弱性診断は、情報セキュリティ分野において非常に重要な役割を果たしています。
しかし、両者は何が違うのでしょう？

脆弱性診断とペネトレーションテストの違い

	脆弱性診断	ペネトレーションテスト
目的	脆弱性やセキュリティ機能の不足を網羅的に洗い出すこと	実際に「脆弱性を悪用する」ことで、明確な意図を持った攻撃者がその目的を達成することが可能であるかどうかを検証すること
対象	システム（指定されたWebアプリケーションなど）	システム、人、組織、ルール（その組織が持つすべてのシステム、もしくは指定されたシステム全体が対象となり得る）
手法	網羅的に脆弱性を洗い出すために、ガイドライン等に従い、定型的なテストケースに基づく作業を行う	実際の攻撃者が使用するツールや脆弱性の利用、ソーシャルエンジニアリングなどの様々な手法を用いて一定期間内で目的を達成できるかの調査を行う

脆弱性診断は、システムやネットワークに存在するセキュリティの弱点（＝脆弱性）を識別するための手法です。

手動もしくは診断用ツールでシステムの脆弱性をスキャンし、脆弱性の有無やその影響度を評価します。

脆弱性診断の目的は、想定される攻撃手法に基づき、脆弱性を網羅的に洗い出し、診断対象に対するリスク箇所や危険性を把握することです。

ペネトレーションテストは、実際に攻撃者が用いるツールや脆弱性を利用して、「サーバに侵入できるか」などの具体的な目的を達成できるかどうかを調査します。

そのため報告書には、目的達成のための侵入経路や使用した脆弱性、攻撃手法などが記載されます。

ペネトレーションテストの目的はシステムの脆弱性悪用により、事前に設定した目的の達成可否を調べて、リスクを確認することです。

脆弱性診断はペネトレーションテストよりも網羅性が高いですが、実際の攻撃を受けた際にセキュリティ機能が有効に機能するかどうかを確認するものではありません。
ペネトレーションテストでは、攻撃者の視点からセキュリティの現状を確認することができ、目的に応じてテストを行うことが可能です。

このため、ペネトレーションテストと脆弱性診断を組み合わせて実施することで、より有効なセキュリティ対策が実現可能になります。

ペネトレーションテストにはいくつかの種類が存在し、それぞれの特徴に応じて選択されます。
代表的なものには、外部からの攻撃を模倣する外部ペネトレーションテスト、内部からの攻撃を想定した内部ペネトレーションテストがあります。

外部ペネトレーションテストの対象は、悪意のある第三者がインターネットを介してアクセス可能なシステムです。
サーバへの侵入や、その奥にあるシステムやネットワークに侵入できるかが主な目的となります。

内部ペネトレーションテストは、社内のネットワークやシステムに対するアクセスができる者の視点から行われ、内部犯行もしくは外部から侵入された場合を想定したテストとなります。
内部ペネトレーションテストの対象には、アプリケーションサーバ、認証サーバ、セキュリティシステム、DBサーバなどが含まれます。

外部ペネトレーションテストと内部ペネトレーションテストの違い

	外部ペネトレーションテスト	内部ペネトレーションテスト
対象	外部に公開しているシステム	社内のネットワークやシステム
シナリオ（前提条件・ゴール）例	インターネット経由で外部公開サーバへの侵入	特定の社内PCを乗っ取ることができたことを想定し、ファイルサーバやADへの不正アクセス