「手動ペネトレーションテスト」でしか調べられない脆弱性とは?ペネトレーションテストは手動か自動か【第1回】

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

2022年04月08日 10時00分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)は、セキュリティ対策の問題点を明らかにできる。ペネトレーションテストの結果を基に、企業はセキュリティ対策の見直しや、能動的な脆弱性の検出に取り組める。

 従来の手動ペネトレーションテストに加えて、近年は自動ペネトレーションテストも検討すべき選択肢になっている。自動ペネトレーションテストは手動ペネトレーションテストと何が違うのか。優劣はあるのだろうか。本連載は双方の利点と欠点を探る。

手動ペネトレーションテストでしか発見できない“あの脆弱性”

 手動ペネトレーションテストの利点は、テスト対象のシステムの脆弱性を臨機応変に発見、修正するのに優れていることだ。手動ペネトレーションテストは、データベースの不正な操作を可能にする「SQLインジェクション」の脆弱性やアクセス制御に関する脆弱性など、自動ペネトレーションテストでは見落とす恐れのある脆弱性を検出できる可能性がある。熟練の専門家は手動ペネトレーションテストにより、攻撃を受けたアプリケーションの反応を調査したり、自動ペネトレーションテストでは発見が難しい脆弱性を検出したりする。

 ペネトレーションテストの中には、手動でしか実行できないものがある。例えば人の心理的な弱点を狙う「ソーシャルエンジニアリング」の対策を調査する場合は、手動ペネトレーションテストが必要になる。音声を用いるフィッシング(不正に情報を引き出す詐欺行為)「ビッシング」の対策を調査する場合は特にそうだ。

 脆弱性を探すときは、手動ペネトレーションテストの方がテスト担当者の創造力を発揮できる。「優秀なペネトレーションテスト担当者は直感を働かせ、結果に基づいて思いも寄らない方向へとテストを進める場合がある」。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏は、そう説明する。

手動ペネトレーションテストで無視できない「時間」「コスト」

 時間がかかることが手動ペネトレーションテストの欠点だ。ペネトレーションテストによっては結果が出るまでに数週間を要することもある。これは必ずしも理想的ではない。重大な脆弱性が存在する場合は特に問題になる。

 高いコストが必要になる場合がある点にも注意しなければならない。手動ペネトレーションテストのコストを懸念する企業は、コンプライアンス(法令順守)目的でのみ手動ペネトレーションテストを実施しがちだ。自社でレッドチーム(模擬的な攻撃を実施するチーム)やペネトレーションテストチームを用意できない場合は、必要に応じてベンダーに依頼することになる。そうなればコストはさらに増す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

製品資料 株式会社エーアイセキュリティラボ

最短10分で診断を開始、脆弱性診断の内製化を簡単に実現するツールとは?

自社のWebサービスやアプリの安全性をチェックする脆弱性診断は、これまでIT部門で担当することが多かったが、開発部門や事業部門でも実施したいというニーズが高まっている。求められているのは、より手軽な脆弱性診断ツールだ。

市場調査・トレンド ゼットスケーラー株式会社

従来型SD-WANはもう限界? 防御強化と運用簡素化を実現するゼロトラスト実践術

クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。

製品資料 伊藤忠テクノソリューションズ株式会社

シングルベンダーSASEリーダーのNetskopeの実力とは?

企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。

市場調査・トレンド HENNGE株式会社

約2分の動画で分かる:ゼロデイ攻撃への対策が難しい理由と有効な予防策

ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。

製品レビュー HENNGE株式会社

2分で分かる、期限切れドメインを悪用する「ドロップキャッチ」の手口と対策

事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

「手動ペネトレーションテスト」でしか調べられない脆弱性とは?:ペネトレーションテストは手動か自動か【第1回】 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。