ペネトレーションテスト(侵入テスト)
カテゴリ: セキュリティ評価と検証
ペネトレーションテスト(Penetration Test、侵入テスト)とは、実際の攻撃者と同じ手法を用いてシステムやネットワークに侵入を試み、セキュリティ上の弱点を発見する検証手法です。「ペンテスト」とも呼ばれ、セキュリティ評価の最も実践的な手法の一つです。
ペネトレーションテストの目的
ペネトレーションテストの主な目的は以下の通りです:
- 脆弱性の発見:システムに存在するセキュリティホールを特定
- 攻撃の実現可能性の検証:発見した脆弱性が実際に悪用可能かを確認
- 影響度の評価:攻撃が成功した場合のビジネスへの影響を評価
- 防御策の有効性確認:既存のセキュリティ対策が機能しているかを検証
- コンプライアンス対応:PCI DSSなどの規制要件への適合
テストの種類
ブラックボックステスト(Black Box)
テスターに事前情報を与えず、外部の攻撃者と同じ視点でテストを行います。実際の攻撃シナリオに最も近い形式ですが、時間とコストがかかります。
ホワイトボックステスト(White Box)
システムの設計書、ソースコード、ネットワーク構成図などの情報をテスターに提供してテストを行います。効率的に深い部分まで検証できますが、内部情報を持たない攻撃者の視点は得られません。
グレーボックステスト(Gray Box)
部分的な情報(認証情報、一部のシステム情報など)をテスターに提供する中間的なアプローチです。現実的なバランスとして多く採用されています。
テストの対象範囲
- 外部ネットワーク:インターネットから到達可能なシステム
- 内部ネットワーク:社内ネットワーク内のシステム
- Webアプリケーション:Webサイトやアプリケーションの脆弱性
- モバイルアプリケーション:スマートフォンアプリの脆弱性
- 無線ネットワーク:Wi-Fiの設定や暗号化の脆弱性
- ソーシャルエンジニアリング:人間の心理的な弱点を突く攻撃
- 物理セキュリティ:建物への侵入、機器への物理アクセス
ペネトレーションテストのプロセス
- 計画と範囲定義:テスト対象、期間、禁止事項の合意
- 情報収集(偵察):対象システムの情報を収集
- 脆弱性スキャン:自動ツールによる脆弱性の洗い出し
- 攻撃の実行:発見した脆弱性を実際に悪用して侵入を試みる
- 権限昇格・水平展開:侵入後、さらに深く侵害を拡大
- 報告書作成:発見事項と推奨対策を文書化
脆弱性診断との違い
脆弱性診断が「脆弱性の有無を網羅的に調べる」ことを目的とするのに対し、ペネトレーションテストは「実際に攻撃が成功するか」を検証します。より実践的で、攻撃者の視点でのリスク評価が可能です。