用語集

ペネトレーションテストとは、日本語で「侵入テスト」と訳されるように、ネットワークにつながっているITシステムに対して、セキュリティ技術者が様々な技術を駆使した「疑似攻撃」を行うことで、システムやネットワークの脆弱性や問題点を発見したり、セキュリティ対策の有効性の判断などをするテスト手法です。

脆弱性診断テストとは何が異なるのでしょうか？

ペネトレーションテストと脆弱性診断との最大の違いは「網羅性」です。脆弱性診断は網羅的に行いますが、ペネトレーションテストは攻撃者が侵入し、情報を盗むという目的を達成しうる脆弱性を発見したり、セキュリティ対策の評価を行うテストなので、網羅的に行いません。したがってリスクの低い脆弱性については報告されないこともあります。

「ペネトレーションテスト」のメリットは、第一にシステムの脆弱性が安全に把握できることです。

サイバー攻撃は悪意を持った人間によって仕掛けられます。ペネトレーションテストではセキュリティ技術者が「攻撃者の視点」で、攻撃のシナリオに合わせて行います。攻撃を行うと行っても、あくまでも試験ですので、安全に脆弱性の調査ができます。

第二に自社のシステム環境に合わせたテストができることです。

ペネトレーションテストは、テスト対象のシステムやネットワーク構成、セキュリティ対策などについてヒアリングし、シナリオを作成することから始まります。そしてその作成したシナリオに基づき、攻撃・侵入テストを実施します。つまり、自社に合ったテストが行えると言うことです。

そのテスト手法も「ホワイトボックステスト（システム内部の構造を把握した上で実施するテスト）」、「ブラックボックステスト（システムの内部構造は考慮せず、外部から見える機能に着目して実施するテスト）」などがあり、それらを組み合わせて実施します。また攻撃をいきなり仕掛けるのではなく、ソーシャル・エンジニアリングを用いられることもあります。

第三に脆弱性解決のための方策が得られることです。

ペネトレーションテストの結果は、報告書としてまとめられます。報告書の中には具体的な対策方法が示されていることも多く、また実際に侵入された場合の被害額まで算出されることもあります。脆弱性を排除するための行動に移すことができるのです。

詳しくはこちらの記事も参照ください。
https://infogov-labo.jp/articles/what-is-penetration-test/