ペネトレーションテストとは、テスト対象の企業/組織に応じて様々なサイバー攻撃手法を講じて、システムなどへの侵入を試みることでセキュリティレベルを評価する取り組みで、2018年5月には金融庁から「諸外国の『脅威ベースのペネトレーションテスト(TLPT)』に関する報告書」が公表されたこともあり、金融業界を中心に関心が高まっています。
「サイバー攻撃に対して自組織で行っているセキュリティ対策が有効に機能するか」、「システムの問題点(脆弱性)を悪用された場合にどの程度の被害に繋がるか」を確認、検証するために、攻撃者目線で疑似攻撃を行うことでシステムの安全性評価を行います。
セキュリティレベルの第三者評価として、「セキュリティ診断」と呼ばれる方法もあります。セキュリティ診断は、対象システムの脆弱性を網羅的に洗い出すことが目的です。情報セキュリティの規格や基準と照らして評価を実施するため、サーバの侵害要因とはならないものの、セキュリティ上望ましくない点についても評価します。
一方、ペネトレーションテストは、攻撃目標を達成できるかについて確認することが目的のため、攻撃者にとって狙い目となるセキュリティ上の欠陥の有無を評価します。そのため、侵害要因とならない観点は含まれないことが、セキュリティ診断と大きく異なります。
セキュリティ診断 |
ペネトレーションテスト |
|
目的 |
脆弱性を網羅的に洗い出すこと |
攻撃者の目的が達成されてしまうかを確認するために、必要な脆弱性を発見・評価・検証すること |
アプローチ |
ベースラインアプローチ |
リスクベースアプローチ |
方式 |
Web、ネットワークなど、システムを構成する要素をセキュリティ規格などに照らし、安全性を確認 |
サイバー攻撃を模して、攻撃目標を達成できるかを試行 |
報告内容 |
個別の脆弱性リスト |
攻撃シナリオと検証結果 |