ペネトレーションテストとは
この記事は約 2 分で読めます
ペネトレーションテスト (Penetration Testing) とは、システムやネットワークに対して 実際の攻撃者と同じ手法で侵入を試み、脆弱性を発見・検証するセキュリティテスト手法です。 「ペンテスト」とも呼ばれ、机上の評価では見つからない実践的な脆弱性を 発見できることが大きな利点です。
テストの種類と手法
ブラックボックステストはシステムの内部情報なしで外部から攻撃を試みます。 ホワイトボックステストはソースコードや設計情報を基に脆弱性を探します。 グレーボックステストはその中間で、限定的な情報を持って実施します。 パスワードクラッキング、SQL インジェクション、XSS など多様な攻撃手法が テストに含まれます。ペネトレーションテストの入門書 (Amazon)で手法を学べます。
パスワードセキュリティの検証
ペネトレーションテストではパスワードの強度も検証対象です。弱いパスワードは 数分で突破されることが実証されます。パスつく.com で生成した十分な長さの ランダムパスワードは、ペネトレーションテストでも突破が困難であることが 確認されています。セキュリティ診断の実践書 (Amazon)も参考になります。