「手動ペネトレーションテスト」でしか調べられない脆弱性とは？：ペネトレーションテストは手動か自動か【第1回】

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

≫ 2022年04月08日 10時00分公開

[Kyle Johnson，TechTarget]

手動ペネトレーションテストでしか発見できない“あの脆弱性”

併せて読みたいお薦め記事

さまざまなペネトレーションテスト手法

　手動ペネトレーションテストの利点は、テスト対象のシステムの脆弱性を臨機応変に発見、修正するのに優れていることだ。手動ペネトレーションテストは、データベースの不正な操作を可能にする「SQLインジェクション」の脆弱性やアクセス制御に関する脆弱性など、自動ペネトレーションテストでは見落とす恐れのある脆弱性を検出できる可能性がある。熟練の専門家は手動ペネトレーションテストにより、攻撃を受けたアプリケーションの反応を調査したり、自動ペネトレーションテストでは発見が難しい脆弱性を検出したりする。

　ペネトレーションテストの中には、手動でしか実行できないものがある。例えば人の心理的な弱点を狙う「ソーシャルエンジニアリング」の対策を調査する場合は、手動ペネトレーションテストが必要になる。音声を用いるフィッシング（不正に情報を引き出す詐欺行為）「ビッシング」の対策を調査する場合は特にそうだ。

　脆弱性を探すときは、手動ペネトレーションテストの方がテスト担当者の創造力を発揮できる。「優秀なペネトレーションテスト担当者は直感を働かせ、結果に基づいて思いも寄らない方向へとテストを進める場合がある」。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏は、そう説明する。

手動ペネトレーションテストで無視できない「時間」「コスト」

　時間がかかることが手動ペネトレーションテストの欠点だ。ペネトレーションテストによっては結果が出るまでに数週間を要することもある。これは必ずしも理想的ではない。重大な脆弱性が存在する場合は特に問題になる。

　高いコストが必要になる場合がある点にも注意しなければならない。手動ペネトレーションテストのコストを懸念する企業は、コンプライアンス（法令順守）目的でのみ手動ペネトレーションテストを実施しがちだ。自社でレッドチーム（模擬的な攻撃を実施するチーム）やペネトレーションテストチームを用意できない場合は、必要に応じてベンダーに依頼することになる。そうなればコストはさらに増す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ