手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。
実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)は、セキュリティ対策の問題点を明らかにできる。ペネトレーションテストの結果を基に、企業はセキュリティ対策の見直しや、能動的な脆弱性の検出に取り組める。
従来の手動ペネトレーションテストに加えて、近年は自動ペネトレーションテストも検討すべき選択肢になっている。自動ペネトレーションテストは手動ペネトレーションテストと何が違うのか。優劣はあるのだろうか。本連載は双方の利点と欠点を探る。
手動ペネトレーションテストの利点は、テスト対象のシステムの脆弱性を臨機応変に発見、修正するのに優れていることだ。手動ペネトレーションテストは、データベースの不正な操作を可能にする「SQLインジェクション」の脆弱性やアクセス制御に関する脆弱性など、自動ペネトレーションテストでは見落とす恐れのある脆弱性を検出できる可能性がある。熟練の専門家は手動ペネトレーションテストにより、攻撃を受けたアプリケーションの反応を調査したり、自動ペネトレーションテストでは発見が難しい脆弱性を検出したりする。
ペネトレーションテストの中には、手動でしか実行できないものがある。例えば人の心理的な弱点を狙う「ソーシャルエンジニアリング」の対策を調査する場合は、手動ペネトレーションテストが必要になる。音声を用いるフィッシング(不正に情報を引き出す詐欺行為)「ビッシング」の対策を調査する場合は特にそうだ。
脆弱性を探すときは、手動ペネトレーションテストの方がテスト担当者の創造力を発揮できる。「優秀なペネトレーションテスト担当者は直感を働かせ、結果に基づいて思いも寄らない方向へとテストを進める場合がある」。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏は、そう説明する。
時間がかかることが手動ペネトレーションテストの欠点だ。ペネトレーションテストによっては結果が出るまでに数週間を要することもある。これは必ずしも理想的ではない。重大な脆弱性が存在する場合は特に問題になる。
高いコストが必要になる場合がある点にも注意しなければならない。手動ペネトレーションテストのコストを懸念する企業は、コンプライアンス(法令順守)目的でのみ手動ペネトレーションテストを実施しがちだ。自社でレッドチーム(模擬的な攻撃を実施するチーム)やペネトレーションテストチームを用意できない場合は、必要に応じてベンダーに依頼することになる。そうなればコストはさらに増す。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
