「手動ペネトレーションテスト」でしか調べられない脆弱性とは？：ペネトレーションテストは手動か自動か【第1回】

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

[Kyle Johnson，TechTarget]

　実際にシステムに侵入して脆弱（ぜいじゃく）性を確認する「ペネトレーションテスト」（侵入テストとも）は、セキュリティ対策の問題点を明らかにできる。ペネトレーションテストの結果を基に、企業はセキュリティ対策の見直しや、能動的な脆弱性の検出に取り組める。

　従来の手動ペネトレーションテストに加えて、近年は自動ペネトレーションテストも検討すべき選択肢になっている。自動ペネトレーションテストは手動ペネトレーションテストと何が違うのか。優劣はあるのだろうか。本連載は双方の利点と欠点を探る。

手動ペネトレーションテストでしか発見できない“あの脆弱性”

併せて読みたいお薦め記事

さまざまなペネトレーションテスト手法

• 「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは？　脆弱性対策を楽にする2大手段
• 「クラウドテスト」「ホストベーステスト」とは？　何を実行するのか

　手動ペネトレーションテストの利点は、テスト対象のシステムの脆弱性を臨機応変に発見、修正するのに優れていることだ。手動ペネトレーションテストは、データベースの不正な操作を可能にする「SQLインジェクション」の脆弱性やアクセス制御に関する脆弱性など、自動ペネトレーションテストでは見落とす恐れのある脆弱性を検出できる可能性がある。熟練の専門家は手動ペネトレーションテストにより、攻撃を受けたアプリケーションの反応を調査したり、自動ペネトレーションテストでは発見が難しい脆弱性を検出したりする。

　ペネトレーションテストの中には、手動でしか実行できないものがある。例えば人の心理的な弱点を狙う「ソーシャルエンジニアリング」の対策を調査する場合は、手動ペネトレーションテストが必要になる。音声を用いるフィッシング（不正に情報を引き出す詐欺行為）「ビッシング」の対策を調査する場合は特にそうだ。

　脆弱性を探すときは、手動ペネトレーションテストの方がテスト担当者の創造力を発揮できる。「優秀なペネトレーションテスト担当者は直感を働かせ、結果に基づいて思いも寄らない方向へとテストを進める場合がある」。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏は、そう説明する。

手動ペネトレーションテストで無視できない「時間」「コスト」

　時間がかかることが手動ペネトレーションテストの欠点だ。ペネトレーションテストによっては結果が出るまでに数週間を要することもある。これは必ずしも理想的ではない。重大な脆弱性が存在する場合は特に問題になる。

　高いコストが必要になる場合がある点にも注意しなければならない。手動ペネトレーションテストのコストを懸念する企業は、コンプライアンス（法令順守）目的でのみ手動ペネトレーションテストを実施しがちだ。自社でレッドチーム（模擬的な攻撃を実施するチーム）やペネトレーションテストチームを用意できない場合は、必要に応じてベンダーに依頼することになる。そうなればコストはさらに増す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。