メインコンテンツへスキップ

ペネトレーションテストとは

この記事は約 2 分で読めます

ペネトレーションテスト (Penetration Testing) とは、システムやネットワークに対して実際の攻撃者と同じ手法で侵入を試み、脆弱性を発見・検証するセキュリティテスト手法です。「ペンテスト」とも呼ばれ、机上の評価では見つからない実践的な脆弱性を発見できることが大きな利点です。 2024 年現在、クラウド環境やコンテナ環境を対象としたペネトレーションテストの需要が急増しています。

現場での使用例

「年次のペネトレーションテストで、社内 VPN の認証バイパスが発見されました。単体では低リスクの設定ミスが 3 つ組み合わさることで、外部から社内ネットワークに侵入可能な状態でした。テスト報告書に基づき、優先度順に修正を進めています。」

テストプロセスのフロー

計画・スコープ定義
情報収集
脆弱性の探索
侵入の試行
報告書作成

テストの種類と手法

ブラックボックステストはシステムの内部情報なしで外部から攻撃を試みます。ホワイトボックステストはソースコードや設計情報を基に脆弱性を探します。グレーボックステストはその中間で、限定的な情報を持って実施します。パスワードクラッキング、SQL インジェクションXSS など多様な攻撃手法がテストに含まれます。ペネトレーションテストの入門書 (Amazon)で手法を学べます。

具体的な実施シナリオ

よくある誤解は「ペネトレーションテストは脆弱性スキャンと同じ」というものです。脆弱性スキャンは自動ツールで既知の脆弱性を検出するのに対し、ペネトレーションテストは熟練したテスターが複数の脆弱性を組み合わせて実際に侵入を試みます。たとえば、単体では低リスクの脆弱性でも、組み合わせることで管理者権限の奪取に至るケースがあります。テスト費用は規模にもよりますが、 Web アプリケーションの場合で 100 万円から 500 万円程度が相場です。テスト結果として「パスワードの 30% が 1 時間以内にクラッキングされた」といった具体的な報告が得られ、セキュリティ改善の優先順位付けに役立ちます。

パスワードセキュリティの検証

ペネトレーションテストではパスワードの強度も検証対象です。弱いパスワードは数分で突破されることが実証されます。十分な長さのランダムパスワードは、ペネトレーションテストでも突破が困難であることが確認されています。セキュリティ診断の実践書 (Amazon)も参考になります。

関連用語

この記事は役に立ちましたか?

Xはてブ