ペネトレーションテストと脆弱性診断の違いって何？

2023年7月12日2023年7月18日

ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストと脆弱性診断は、どちらもサイバー攻撃からシステムを守るためのセキュリティ対策です。

両者はさまざまな面で違いがありますが、一番の相違点はその目的です。
ペネトレーションテストの目的は、実際にシステムに侵入して目的を達成できるか検証することです。一方、脆弱性診断は、システムの欠陥や既知の脆弱性が存在するかどうかを洗い出すことです。

このような目的の違いによって、それぞれの調査範囲や実施頻度、実施にかかる時間が異なります。ペネトレーションテストと脆弱性診断について詳しく見ていきましょう。

ペネトレーションテストとは

ペネトレーションテストとは、テスト対象となるシステムに対して、実際にサイバー攻撃を仕掛けて、侵入できるかどうか検証するテストのことです。
「侵入テスト」や「ペンテスト」とも呼ばれることがあります。

あくまでもテストとしての模擬ハッキングであるため、攻撃を仕掛けるのは悪意のないホワイトハッカーです。
しかし、テストは実際のサイバー攻撃を想定して行われます。たとえば、管理者権限の奪取や不正アクセス、重要なファイルの探索など、テストの目的に沿ってさまざまな攻撃が試みられます。

テストの成果はテスト実施者のスキルに大きく依存するため、調査員やテストを依頼した会社によって、テスト結果が異なってしまうことがあります。ペネトレーションテストを依頼する時はそのことを考慮して、予算なども踏まえて適切な業者を選択しましょう。

脆弱性診断とは

脆弱性診断とは、診断対象となるシステムやソフトウェアに脆弱性が存在しているか検証するテストのことです。OSやネットワーク環境、クラウドなど既知の脆弱性を洗い出し、情報セキュリティ上の弱点を見つけ出します。

脆弱性診断は、手動で診断する方法と、専門的なツールを駆使して行う方法の２つの手法があり、それらを組み合わせて網羅的に実施されます。

診断の結果、脆弱性が発見されたら、診断者はその脆弱性の内容や対処方法、危険度、その脆弱性から想定されるサイバー攻撃などを報告書としてまとめ、依頼主に提出します。依頼主はシステムから脆弱性を取り除くのに、その報告書を活用します。

ペネトレーションテストと脆弱性診断のまとめ

ここまで解説してきた、ペネトレーションテストと脆弱性診断を表にまとめると次のようになります。

ペネトレーションテストと脆弱性診断には上記のような違いがあります。どのような時にどちらを選べばよいのか、その判別方法を見ていきましょう。

ペネトレーションテストと脆弱性診断のどちらを選ぶ？

ペネトレーションテストが実際にシステムへの侵入を目指すのに対し、脆弱性診断はあくまでも既知の脆弱性の発見を目的としています。この目的の違いによって、どちらを選択すべきか異なってきます。

次のような企業にはペネトレーションテストがおすすめです。

すでに稼働しているシステムに存在する脅威を明らかにし、サイバー攻撃を未然に防ぐための具体的な対策を講じたい方には、ペネトレーションテストがおすすめです。

一方、次のような企業には脆弱性診断がおすすめです。

新しいシステムを開発後や既存のシステムのアップデート時に、開発者自身の視点だけで脆弱性の有無をチェックするのは心許ないでしょう。そのような時に脆弱性診断を行えば、既知の脆弱性の有無を外部の専門家の手によって確認でき、サイバー攻撃を未然に防ぐために役立てられます。

参考

• https://www.secure-iv.co.jp/blog/5363（2023年７月10日確認）
• https://www.itmanage.co.jp/column/about-penetration-testing/（2023年７月10日確認）
• https://www.gmo.jp/security/cybersecurity/penetration-testing/blog/vulnerability-assessment-penetration-testing/（2023年７月10日確認）
• https://www.hitachi-solutions.co.jp/security_consul/sp/penetration_assessment.html（2023年７月10日確認）