「手動ペネトレーションテスト」でしか調べられない脆弱性とは?ペネトレーションテストは手動か自動か【第1回】

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

2022年04月08日 10時00分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)は、セキュリティ対策の問題点を明らかにできる。ペネトレーションテストの結果を基に、企業はセキュリティ対策の見直しや、能動的な脆弱性の検出に取り組める。

 従来の手動ペネトレーションテストに加えて、近年は自動ペネトレーションテストも検討すべき選択肢になっている。自動ペネトレーションテストは手動ペネトレーションテストと何が違うのか。優劣はあるのだろうか。本連載は双方の利点と欠点を探る。

手動ペネトレーションテストでしか発見できない“あの脆弱性”

 手動ペネトレーションテストの利点は、テスト対象のシステムの脆弱性を臨機応変に発見、修正するのに優れていることだ。手動ペネトレーションテストは、データベースの不正な操作を可能にする「SQLインジェクション」の脆弱性やアクセス制御に関する脆弱性など、自動ペネトレーションテストでは見落とす恐れのある脆弱性を検出できる可能性がある。熟練の専門家は手動ペネトレーションテストにより、攻撃を受けたアプリケーションの反応を調査したり、自動ペネトレーションテストでは発見が難しい脆弱性を検出したりする。

 ペネトレーションテストの中には、手動でしか実行できないものがある。例えば人の心理的な弱点を狙う「ソーシャルエンジニアリング」の対策を調査する場合は、手動ペネトレーションテストが必要になる。音声を用いるフィッシング(不正に情報を引き出す詐欺行為)「ビッシング」の対策を調査する場合は特にそうだ。

 脆弱性を探すときは、手動ペネトレーションテストの方がテスト担当者の創造力を発揮できる。「優秀なペネトレーションテスト担当者は直感を働かせ、結果に基づいて思いも寄らない方向へとテストを進める場合がある」。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏は、そう説明する。

手動ペネトレーションテストで無視できない「時間」「コスト」

 時間がかかることが手動ペネトレーションテストの欠点だ。ペネトレーションテストによっては結果が出るまでに数週間を要することもある。これは必ずしも理想的ではない。重大な脆弱性が存在する場合は特に問題になる。

 高いコストが必要になる場合がある点にも注意しなければならない。手動ペネトレーションテストのコストを懸念する企業は、コンプライアンス(法令順守)目的でのみ手動ペネトレーションテストを実施しがちだ。自社でレッドチーム(模擬的な攻撃を実施するチーム)やペネトレーションテストチームを用意できない場合は、必要に応じてベンダーに依頼することになる。そうなればコストはさらに増す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...

news145.jpg

3D空間メディアのマーケティング効果を測る新指標「ブランドイマーシブタイム」とは?
電通と電通グループ、電通デジタルは、3D空間メディアが与えるマーケティング効果を測る...