ペネトレーションテストと脆弱性診断の違いから理解する
ペネトレーションテストの必要性

インターネットに接続されたITシステムは、常に外部からの脅威にさらされており、その対策として、脆弱性診断やペネトレーションテストが注目されています。しかし、この2つを混同してしまっている人は多いのではないでしょうか。
脆弱性診断とペネトレーションテストでは、目的や手法が異なります。

ペネトレーションテストと脆弱性診断の違い

脆弱性診断の目的と手法

攻撃者はシステムの脆弱性やセキュリティの不備を狙って攻撃を仕掛けてきます。これに対し、攻撃の侵入口となる脆弱性を網羅的に検出するのが脆弱性診断です。
Webアプリケーションやネットワーク機器、OS、ミドルウェアなどについて不正にアクセスされるような脆弱性はないか、不要な通信ポートから攻撃されるような脆弱性はないかなどを、ツールを利用して診断したり、専門技術者が手動で診断します。

ペネトレーションテストの目的と手法

システムの脆弱性検知をメインとする脆弱性診断に対して、メールの添付ファイルやURLクリックなどから侵入されることを想定としたセキュリティ対策の十分性や、被害レベルを調査できるのがペネトレーションテストです。
想定される攻撃シナリオに沿って、攻撃者と同様の手口で侵入や改ざんなどの攻撃を実施するため、専門的な知識や技術が必要となり、専門の技術者が提供しているサービスを利用するのが一般的です。

ペネトレーションテストが必要な理由

昨今のサイバー攻撃では、「標的型攻撃やAPT(Advanced Persistent Threat)型攻撃」など、脆弱性診断ではカバーしきれない手法で組織内部に侵入する攻撃が増えています。
現在の脅威を振り返ってみると、その多くは「メール」を経由します。2019年から現在に掛けて猛威を振るうマルウェアの1つ「Emotet」も、「請求書の件」「賞与支払」「保健所福祉室」などという、思わずクリックしたくなるような件名のメールで、添付ファイルの開封や不正サイトへのアクセスを誘導し、マルウェアを実行させ、感染させようとします。

このように、侵入口に脆弱性がなかったとしても、脅威は内部に侵入し得るため、脅威が内部に侵入することを前提にした多層防御対策が重要と言われています。そして、攻撃から組織を堅牢に守る多層的な防御策がしっかりとできているか確認するためには、ペネトレーションテストが必要となります。

ペネトレーションテストのメリットと選び方

ペネトレーションテストのメリット

ペネトレーションテストでは、調査対象に応じて脅威シナリオを作成し、さまざまな攻撃を行うことで、セキュリティ対策の弱点を網羅的に把握できます。そのため、システムに脆弱性やセキュリティの不備がないかという確認だけではなく、情報資産を守るための具体的なセキュリティ対策を講じることが可能です。

ペネトレーションテストの選定ポイント

ペネトレーションテストの実施には専門知識と高度なスキルが求められるため、技術者の技量や経験によって、テストの内容や結果に差が生じると言われています。
また、外部から侵入することができるかを試みるだけのペネトレーションテストでは、多層防御の弱点を網羅的に把握できない可能性があります。

日立ソリューションズでは、ネットワークにおける多層防御の階層ごとに作成した脅威シナリオに沿って、ホワイトハッカーがツールや攻撃テクニックを駆使し、段階的な疑似攻撃を実施します。
各階層のセキュリティ対策を突破できなかった場合も突破できたと仮定し、次の階層から再度侵入テストを実施するのでセキュリティ対策の弱点を見逃しません。
詳細は、ペネトレーションテストをご覧ください。

ホワイトペーパー「「侵入されている前提」で考えるセキュリティ診断のあり方──脅威が既にそこにあるとしたら」

「侵入されている前提」で考えるセキュリティ診断のあり方──脅威が既にそこにあるとしたらホワイトペーパーダウンロード

セキュリティコンサルティング コンテンツ一覧

関連商品・キーワード