ペネトレーションテスト
ぺねとれーしょんてすと
経営情報システム
ひとことで言うと
実際の攻撃手法を模擬してシステムの脆弱性を発見・評価するセキュリティテスト手法。
解説
実際の攻撃者の視点からシステムやネットワークの脆弱性を検証するセキュリティテスト手法。攻撃者が用いる手法を模擬的に実施し、セキュリティ上の弱点を発見・評価する。脆弱性スキャンとは異なり、実際に侵入を試みることで脆弱性の実効性を確認する点が特徴である。
くわしく解説
ペネトレーションテスト(侵入テスト)とは、実際の攻撃者が使用する手法を意図的に模擬し、対象システムやネットワークへの侵入を試みることでセキュリティ上の脆弱性を発見・評価するテスト手法である。単に脆弱性の有無を自動スキャンする脆弱性スキャンとは異なり、実際に攻撃シナリオを実行して脆弱性の実効性(本当に侵入できるか)と影響範囲を確認できる点が特徴である。テストの範囲・方法・対象を事前に合意した上で実施することが法的・倫理的に重要である。テスト実施者の情報量によりブラックボックス(システム情報なし)・ホワイトボックス(全情報あり)・グレーボックス(一部情報あり)の3種類に分類される。金融機関や個人情報を扱う事業者では定期的な実施が推奨されている。
具体例で考えよう
金融機関がセキュリティ会社に依頼し、インターネットバンキングシステムに対してSQLインジェクションやクロスサイトスクリプティングなどの攻撃を模擬実行してもらい、実際に不正ログインできる脆弱性を発見・修正した事例がある。
試験対策ポイント
脆弱性スキャンとの違い(自動検出のみ vs 実際の侵入試行による実効性確認)が頻出。ブラックボックス・ホワイトボックス・グレーボックスの分類も問われる。実施前の合意(スコープ定義)の重要性も押さえること。
関連用語
「経営情報システム」の他の用語