Webマーケティングの用語、ペネトレーションテストの意味を解説していきます。
ペネトレーションテストとは、
コンピュータシステムうやネットワークなどの
セキュリティホールを発見するためのテストで、
実際にコンピュータシステムやネットワークに侵入するなど、
攻撃を行うことでテストを行い、安全性の確認を行います。
ペネトレーションテストは
通信ネットワークで外部と接続されたコンピュータシステムの
安全性を調査するために用いられるテスト手法で、
すでに知られているコンピュータシステムへの侵入や攻撃の方法で
実際にテストをしてみる手法になります。
ペネトレーションテスト、
または単にペネトレーションと呼ばれる場合もあります。
ペネトレーションテストでソフトウェアの弱点(脆弱性)を確かめる
ペネトレーションテストを行う
対象となるシステムの種類によっても異なってきますが、
ペネトレーションテストではソフトウェアの弱点(脆弱性)を
確認していくテストになります。
ソフトウェアの保安上の弱点(脆弱性)や設定の不備を利用して
外部からのアクセスによる乗っ取りやサービスの停止、
他にも非公開応報の取得が行われる可能性があるからです。
そのため、ペネトレーションテストでは、
DoS攻撃(サービス拒否攻撃)にどのくらい耐えられるのか、
コンピュータシステムに侵入された場合に
侵入したシステムを踏み台にして他のコンピュータ、
外部のネットワークも攻撃できるかどうかなどを調べる場合もあります。
ペネトレーションテストはツールや専門のエンジニアによるサービスを利用する
ペネトレーションテストを行う場合、
自動的にテストや診断を行うツールを利用したり、
専門のエンジニアによるサービスを利用することになります。
ペネトレーションテストにツールを利用する場合、
特定の種類のコンピュータやソフトウェアを対象に
自動的にテストをしたり、診断を行うツールが効果されている場合があります。
また、コンピュータセキュリティ関連企業では、
専門のエンジニアによるペネトレーションテストを実施する
サービスを提供している企業があるので、
専門のエンジニアからペネトレーションテストを受けることもできます。
システムを攻撃して侵入するための攻撃手法や
ソフトウェアの弱点である脆弱性は新たに発見されることも多いので、
1度テストを受けて安全が確認されたとしても、
定期的にペネトレーションテストを実施するのが望ましくなります。
ペネトレーションテストと脆弱性診断の違い
ペネトレーションテストと同じような意味として使われる言葉に
「脆弱性診断」という言葉があります。
しかし、実際にはペネトレーションテストと脆弱性診断は
それぞれ違う意味を持っていますので、
ここでその違いについて解説していきます。
ペネトレーションテストと脆弱性診断の違い1:脆弱性診断はツールを利用して行う
脆弱性診断はWebアプリケーション診断とも呼ばれ、
様々なツールを利用することによって行われます。
ツールでシステムをスキャンすることによって
その結果出てきたシステムなどの脆弱性をクライアントに報告すること、
これが脆弱性診断と呼ばれています。
ペネトレーションテストと脆弱性診断が同じ意味で使われる場合、
この作業のことをペネトレーションテストと呼ぶ場合が多いです。
ペネトレーションテストと脆弱性診断の違い2:ペネトレーションテストに脆弱性診断が含まれている
ペネトレーションテストでは、
ツールでスキャンした結果、つまり脆弱性診断の作業の他にも
エンジニアが様々な手法で情報を集め、その情報を踏まえた上で
経験やアイディアなどで手動で擬似的に侵入実験を行うことを言います。
さらに、ツールを利用してシステムをスキャンした場合に起こりうる
誤検知のチェックもペネトレーションテストにおいて
手動で行っていきます。
つまり、ペネトレーションテストとは
脆弱性診断を含んだプロセス全体のことを指す言葉なのです。
ペネトレーションテストによる人間の脳による診断が必要になる
システムやソフトウェアへの侵入によるサイバー犯罪や攻撃には
ウイルスやマルウェア、攻撃プログラムなどが利用されます。
そのため、ツールを利用した脆弱性診断による対策が必要になります。
しかし、ウイルスやマルウェア、攻撃プログラムなどを利用しているのは
その向こうにいる人間なのです。
そのため、最終的にはツールによる脆弱性診断だけではなく、
人間の脳を使ったペネトレーションテストによって
対策を講じていく必要があるのです。
システムやソフトウェア、ツールが発展したとしても、
最終的には人間の脳によるペネトレーションテストが必要になっていきます。
そのため、定期的にペネトレーションテストを行うことが
システムやソフトウェアの保全につながっていくことになるのです。
以上が、マーケティングの用語、ペネトレーションテストの意味になります。
ぜひ、参考にしてください。
コメント