ペネトレーションテストとは「侵入テスト」とも呼ばれ、情報システムのセキュリティを評価するための手法の一つです。具体的には、システムやネットワークに侵入を試みることで、セキュリティの有効性を評価します。
目次
システムやネットワークに対して、サイバー攻撃のシナリオに沿った模擬的な攻撃を実際に行います。あくまでも模擬的な攻撃なので、侵入や不正アクセスをメインとした攻撃となります。侵入を行うことで、セキュリティの問題点を炙り出すことが出来ます。
具体的には以下のようなものが、ぺネトレーションテストで把握できます。
リスク評価と管理:システム監査では、情報資産へのリスクを評価し、必要な管理策を検討します。ペネトレーションテストの結果はリスク管理の重要な基礎データとなります。
内部統制の評価:システムの管理策が適切に実装されているかどうかを判断するために、ペネトレーションテストの結果が活用されます。
コンプライアンス:ペネトレーションテストの結果は、さまざまな業界規制(例: GDPR、ISO 27001)を満たすために役立てることが出来ます。
ペネトレーションテストの流れの一例を紹介します。
ペネトレーションテストと脆弱性診断は似ていますが、目的と手法が異なります。
ペネトレーションテストは、特定の攻撃シナリオに沿って侵入を試みることで、システムやネットワークの防御力を評価します。それに対して脆弱性診断では、侵入できるかどうかのチェックだけでなく、診断対象の脆弱性全般を評価します。
ペネトレーションテストは、システムの堅牢さを確認するためのテストの一つです。ペネトレーションテストの結果を各コンプライアンス基準に合わせるためにも、目的と手法をしっかりと定めた上で実施することが重要です。脆弱性診断を合わせて行えば、システムやネットワークの安全性をより高めることが出来るでしょう。