「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?ペネトレーションテストは手動か自動か【第3回】

テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。

2022年05月13日 08時15分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)。それを自動化するのが自動ペネトレーションテストツールだ。米TechTargetの調査部門Enterprise Strategy Groupでアナリストを務めるジョン・オルシック氏によると、自動ペネトレーションテストツールはこの数年で進化を遂げている。投資家による投資も盛んだ。「これは革新的な成長市場だ」とオルシック氏は述べる。ただし自動ペネトレーションツールには幾つかの課題がある。

自動ペネトレーションテストツールは“あれ”が苦手

会員登録(無料)が必要です

 開発者やユーザーの知識にテスト結果が左右されることが、自動ペネトレーションツールの欠点だ。つまり自動ペネトレーションテストでは、人が障害になり得るということになる。「ソフトウェアは人の知識基盤以上に優れたものにはならない」とオルシック氏は説明する。自動ペネトレーションテストの開発者が適切なプログラミングをしていなかったり、ユーザーが適切な使い方をしていなかったりすれば、企業は重要な問題を見落としかねない。

 自動ペネトレーションテストツールが、人のペネトレーションテスト担当者に取って代わる可能性を懸念する声がある。これに対してオルシック氏は「そうなるとは限らない」と語る。同氏によると、自動ペネトレーションテストツールが非常に優れたものになり、ペネトレーションテストの監督者や監査担当者しか必要なくなる可能性はある。ただし「近い将来にそうなる気配はない」と同氏は話す。

 全てのテストシナリオで自動ペネトレーションテストツールが役立つわけではない。自動ペネトレーションテストツールは限られた機能しか持たないからだ。具体的には

  • 無線LAN
  • Webアプリケーション

に対するペネトレーションテストは、大半の自動ペネトレーションツールでは実行できない。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 パロアルトネットワークス株式会社

優先度の高いアラート対応で手いっぱい、SOC運用を変革する注目の手法とは?

攻撃対象領域の拡大に伴い、SOCは高優先度のアラート対応で手いっぱいになり、トリアージにおいても十分な追加検証が行えていない。この現状を打開するには、AI/機械学習を活用し、大量のデータをセキュリティ対策に生かす手法が有効だ。

製品資料 Absolute Software株式会社

ハイブリッドワークでのリモートアクセスを保護、ZTNAを実現する最適な手段とは

リモートアクセスを保護する方法として注目されるゼロトラストネットワークアクセス(ZTNA)。その実現手段として検討したいのが、エンドポイント上でポリシーを適用し、アクセスをきめ細かく最適化する先進的なZTNAソリューションだ。

製品資料 パロアルトネットワークス株式会社

エンドポイントセキュリティ製品を選ぶ際にチェックしたいポイントとは?

サイバー攻撃が高度化する中、企業・組織はこの対応に苦慮している。本資料では、CISOやSecOpsリーダーなど、役割別の課題を整理し、この解決につながる製品の選定においてチェックしたいポイントを紹介する。

製品資料 パロアルトネットワークス株式会社

AIで真の包括的セキュリティを実現、ハイブリッドワーク時代に選ぶべきSASEとは

ハイブリッドワークの定着により働き方が変化する中、セキュリティを強化する方法として注目されるSASE。だが実際には、スタンドアロン製品で構成されるものも多く、性能に不満の声もあった。これらを解消する、AI搭載の統合型SASEとは?

市場調査・トレンド ラピッドセブン・ジャパン株式会社

インシデント対応の自動化率はわずか16%、調査で見えた停滞の原因と解決策とは

AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/06/14 UPDATE

  1. そのプライバシー対策、実は“時代遅れ”かも? NISTが示す新基準
  2. “複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
  3. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  4. VMware永久ライセンスはもうおしまい? “パッチ対象外”でも生き残る方法
  5. 転職先は中国の情報機関だった――解雇されたITエンジニアが中国に狙われる理由
  6. 侵入経路は「正規アカウント」が最多 認証情報の“盗まれ方”にはある変化も
  7. 証券口座だけじゃない 企業も狙う「インフォスティーラー」の仕組みと対策
  8. オーストラリアで個人情報の流出が止まらないのはなぜ? 学ぶべき教訓と攻撃例
  9. 英国がロシアよりも警戒を強める“あの国” 国家主導サイバー攻撃の脅威とは?
  10. Webを守るなら「WAF」と「RASP」どちらを選ぶ? 仕組みからコストまで徹底比較

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方