ペネトレーションテストと脆弱性診断の違いって何?
ペネトレーションテストと脆弱性診断の違い
ペネトレーションテストと脆弱性診断は、どちらもサイバー攻撃からシステムを守るためのセキュリティ対策です。
両者はさまざまな面で違いがありますが、一番の相違点はその目的です。
ペネトレーションテストの目的は、実際にシステムに侵入して目的を達成できるか検証することです。一方、脆弱性診断は、システムの欠陥や既知の脆弱性が存在するかどうかを洗い出すことです。
- ペネトレーションテストの目的…実際にシステムに侵入して目的を達成できるか検証
- 脆弱性診断の目的…システムの欠陥や既知の脆弱性が存在するかどうかを洗い出すこと
このような目的の違いによって、それぞれの調査範囲や実施頻度、実施にかかる時間が異なります。ペネトレーションテストと脆弱性診断について詳しく見ていきましょう。
ペネトレーションテストとは
ペネトレーションテストとは、テスト対象となるシステムに対して、実際にサイバー攻撃を仕掛けて、侵入できるかどうか検証するテストのことです。
「侵入テスト」や「ペンテスト」とも呼ばれることがあります。
あくまでもテストとしての模擬ハッキングであるため、攻撃を仕掛けるのは悪意のないホワイトハッカーです。
しかし、テストは実際のサイバー攻撃を想定して行われます。たとえば、管理者権限の奪取や不正アクセス、重要なファイルの探索など、テストの目的に沿ってさまざまな攻撃が試みられます。
テストの成果はテスト実施者のスキルに大きく依存するため、調査員やテストを依頼した会社によって、テスト結果が異なってしまうことがあります。ペネトレーションテストを依頼する時はそのことを考慮して、予算なども踏まえて適切な業者を選択しましょう。
脆弱性診断とは
脆弱性診断とは、診断対象となるシステムやソフトウェアに脆弱性が存在しているか検証するテストのことです。OSやネットワーク環境、クラウドなど既知の脆弱性を洗い出し、情報セキュリティ上の弱点を見つけ出します。
脆弱性診断は、手動で診断する方法と、専門的なツールを駆使して行う方法の2つの手法があり、それらを組み合わせて網羅的に実施されます。
診断の結果、脆弱性が発見されたら、診断者はその脆弱性の内容や対処方法、危険度、その脆弱性から想定されるサイバー攻撃などを報告書としてまとめ、依頼主に提出します。依頼主はシステムから脆弱性を取り除くのに、その報告書を活用します。
ペネトレーションテストと脆弱性診断のまとめ
ここまで解説してきた、ペネトレーションテストと脆弱性診断を表にまとめると次のようになります。
ペネトレーションテスト | 脆弱性診断 | |
---|---|---|
目的 | システムに実際に侵入して攻撃者の目的を果たせるか検証する | システムやソフトウェアの既知の脆弱性を発見する |
手法 | 手動でのテストを主体とし、一部自動化ツールを利用 | 自動化ツールと手動でのテストの組み合わせ |
期間 | 1週間~数か月 | 1週間~ |
網羅性 | 低い | 高い |
頻度 | 年に1、2回 | システム開発後・アップデート後 |
ペネトレーションテストと脆弱性診断には上記のような違いがあります。どのような時にどちらを選べばよいのか、その判別方法を見ていきましょう。
ペネトレーションテストと脆弱性診断のどちらを選ぶ?
ペネトレーションテストが実際にシステムへの侵入を目指すのに対し、脆弱性診断はあくまでも既知の脆弱性の発見を目的としています。この目的の違いによって、どちらを選択すべきか異なってきます。
次のような企業にはペネトレーションテストがおすすめです。
- 第三者の視点で現在の情報セキュリティ対策を評価してもらいたい
- 投資すべきセキュリティ対策を絞り込みたい
- 自社のセキュリティ意識を高めたい
- SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)を強化したい
すでに稼働しているシステムに存在する脅威を明らかにし、サイバー攻撃を未然に防ぐための具体的な対策を講じたい方には、ペネトレーションテストがおすすめです。
一方、次のような企業には脆弱性診断がおすすめです。
- 専門家による脆弱性診断を一度も受けたことがない
- システム開発後に脆弱性があるか確認したい
- 既存のシステムをアップデートして脆弱性が発生していないか確認したい
新しいシステムを開発後や既存のシステムのアップデート時に、開発者自身の視点だけで脆弱性の有無をチェックするのは心許ないでしょう。そのような時に脆弱性診断を行えば、既知の脆弱性の有無を外部の専門家の手によって確認でき、サイバー攻撃を未然に防ぐために役立てられます。
参考
- https://www.secure-iv.co.jp/blog/5363(2023年7月10日確認)
- https://www.itmanage.co.jp/column/about-penetration-testing/(2023年7月10日確認)
- https://www.gmo.jp/security/cybersecurity/penetration-testing/blog/vulnerability-assessment-penetration-testing/(2023年7月10日確認)
- https://www.hitachi-solutions.co.jp/security_consul/sp/penetration_assessment.html(2023年7月10日確認)