ペネトレーションテストとは

ペネトレーションテストとは、ネットワークに接続されているコンピューターシステムに対して、様々な技術を用いて侵入を試みることで現状のセキュリティ対策の有効性をテストする手法のこと。
ペネトレーションテストは被害を受けるシナリオを検討してどこまで影響を受けるかを確認する侵入実験なのに対して、セキュリティ脆弱性診断はシステム全体を網羅的に確認し問題点を発見します。

セキュリティ診断と
ペネトレーションテストの違い

種別

セキュリティ脆弱性診断

ペネトレーションテスト

調査対象
対象が限定される

指定されたWebアプリケーションやIPアドレスごと

対象が限定されない

その組織が持つすべてのシステム、もしくは指定されたシステム全体

調査の目的

脆弱性とセキュリティ対策で足りないものを網羅的に洗い出すこと

明確な意図を持った攻撃者にその目的が達成されてしまう脆弱性を発見・評価・検証すること

調査の方法

ガイドラインなどに従って定型的な手法で調査を行う

実際のサイバー攻撃を利用して攻撃目標が達成できるかを試行する

ペネトレーションテストの進め方

セキュリティ診断とペネトレーションテストの違い