セキュリティ
ペネトレーションテスト
Penetration Test
概要
実際の攻撃手法を用いてシステムへの侵入を試み、セキュリティ上の問題を発見するテスト。
詳細解説
ペネトレーションテスト(侵入テスト)は、専門の技術者が実際の攻撃者と同様の手法を用いてシステムやネットワークへの侵入を試み、セキュリティ上の脆弱性や問題点を検出するテストである。
ネットワーク診断、Webアプリケーション診断、ソーシャルエンジニアリングテストなどの種類がある。脆弱性スキャナによる自動診断と、専門家による手動テストを組み合わせて行うことが効果的である。テスト結果に基づいて具体的な改善策を講じる。
試験対策のポイント
- 暗記必須:ペネトレーションテスト(侵入テスト)は実際の攻撃手法を用いてシステムに侵入を試み、脆弱性を発見・検証するテスト。
- ひっかけ注意:脆弱性診断(既知の弱点を網羅的にチェック)と、ペネトレーションテスト(実際に侵入できるか攻撃者視点で検証)は目的が異なる。
- 関連づけ:セキュリティ対策の有効性を実証的に評価する手段として、リスクアセスメントと結びつける。
事例・具体例
ECサイトのリリース前にペネトレーションテストを実施し、SQLインジェクションやXSSの脆弱性がないかを検証する。テスト結果はリスクレベルとともに報告される。