「侵入テスト」にまつわる3つのセキュリティ用語 正しい意味は？：意思疎通のためのセキュリティ用語集【第2回】

「アドバーサリーシミュレーション」「セキュアコードレビュー」「アプリケーションテスト」――。これらのセキュリティ用語は具体的に何を指すのか。一般的な意味を解説する。

[Nabil Hannan，TechTarget]

　第2回からは、侵入テストを中心とした主要なセキュリティ用語の一般的な意味を解説する。

用語1．アドバーサリーシミュレーション

　アドバーサリー（敵対的）という言葉通り、自企業を脅かす脅威や不正侵入を発見して対処する能力を包括的に評価するテストがアドバーサリーシミュレーションだ。具体的には以下のテストを実施する。

• ディテクティブコントロール（発見的統制）テスト
  • 内部不正や従業員のミスを発見して除外するための仕組みが機能するかどうかをテストする。
• レッドチームテスト（レッドチーミング）
  • 実際の攻撃手法を用いて企業のシステムを模擬的に攻撃し、セキュリティ対策やセキュリティ担当者の能力を評価する。
• 従業員へのソーシャルエンジニアリングによる侵入テスト
  • 人の心理を狙う「ソーシャルエンジニアリング」を用いたメールを送ったり、電話をかけたりすることで、従業員に正しいセキュリティ意識があるかどうかをテストする。

併せて読みたいお薦め記事

連載：意思疎通のためのセキュリティ用語集

• 第1回：「セキュリティ用語」をあいまいな理解で使ってはいけない“納得の理由”

セキュリティの用語解説

• 新たなセキュリティ対策「NTA」「NDR」はなぜ必要なのか？
• いまさら聞けない「VPN」の必修12用語　あなたは幾つ知っている？
• 「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは？

さまざまなテスト方法

• 「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは？　脆弱性対策を楽にする2大手段
• クラウドアプリの性能とセキュリティを確保するための5つのテストと主要製品

用語2．セキュアコードレビュー

　セキュアコードレビューは、アプリケーション開発で作成したソースコードを検査（コードレビュー）してセキュリティ上の不備を洗い出す。これにより包括的に脆弱（ぜいじゃく）性を検出できる。プログラムを実行して脆弱性を検出する動的テストでは発見しづらい脆弱性を発見できる場合もある。

用語3．アプリケーションテスト

　Webアプリケーションやモバイルアプリケーションなどの脆弱性を洗い出して検証し、対処の優先順位を付けるための侵入テストがアプリケーションテストだ。

---

　第3回は「ネットワークテスト」について解説する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。