「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性ペネトレーションテストは手動か自動か【第4回】

ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。

2022年05月27日 08時15分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第1回「『手動ペネトレーションテスト』でしか調べられない脆弱性とは?」、第2回「『自動ペネトレーションテストツール』が役立つのは“あれ”が多い企業」、第3回「『自動ペネトレーションテストツール』を過信してはいけない 専門家の懸念は?」の3回にわたり、実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)の手段を紹介した。ペネトレーションテストには手動と自動の2種類がある。企業はペネトレーションテストをどのように選ぶべきなのか。最終回となる本稿は、その指針を示す。

ペネトレーションテストを手動でやるか、自動でやるか

 ペネトレーションテストの選択に関して言えば、実は手動と自動のどちらを選ぶかは大きな問題にはなりにくい。むしろ「手動ペネトレーションテストを強化する手段」として自動ペネトレーションテストツールを利用する選択肢が有力だ。

 「自動ペネトレーションテストツールは、世の中に存在する全種類のペネトレーションテストを完全に実行できるわけではない」。調査会社Gartnerでアナリストを務めるミッチェル・シュナイダー氏はこう指摘する。シュナイダー氏によると、ペネトレーションテスト担当者やレッドチーム(模擬的な攻撃を実施するチーム)が、即座に自動ペネトレーションテストに置き換わることはない。

 手動と自動のペネトレーションテストを組み合わせた「PTaaS」(Pen Testing as a Service)を活用する手もある。すでにNetSPI、Cobalt Labs、Pentest PeopleなどのベンダーがPTaaSを提供中だ。PTaaSは企業がコンプライアンス(法令順守)といったペネトレーションテストのニーズを満たす手助けをする。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news067.jpg

「単なるスポーツ広告ではない」 Nikeの27年ぶりスーパーボウルCMは何がすごかった?
Nikeが27年ぶりにスーパーボウルCMに復帰し、注目を集めた。

news082.png

Z世代と上の世代で利用率の差が大きいSNSトップ3 1位「TikTok」、2位「Instagram」、3位は?
サイバーエージェント次世代生活研究所が実施した「2024年Z世代SNS利用率調査」の結果が...

news187.jpg

主戦場は「テレビ画面」へ YouTube20周年でCEOが公開書簡
20周年を迎えるYouTubeが、クリエイターとユーザーの双方にとってより魅力的で革新的なプ...