ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。
第1回「『手動ペネトレーションテスト』でしか調べられない脆弱性とは?」、第2回「『自動ペネトレーションテストツール』が役立つのは“あれ”が多い企業」、第3回「『自動ペネトレーションテストツール』を過信してはいけない 専門家の懸念は?」の3回にわたり、実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)の手段を紹介した。ペネトレーションテストには手動と自動の2種類がある。企業はペネトレーションテストをどのように選ぶべきなのか。最終回となる本稿は、その指針を示す。
ペネトレーションテストの選択に関して言えば、実は手動と自動のどちらを選ぶかは大きな問題にはなりにくい。むしろ「手動ペネトレーションテストを強化する手段」として自動ペネトレーションテストツールを利用する選択肢が有力だ。
「自動ペネトレーションテストツールは、世の中に存在する全種類のペネトレーションテストを完全に実行できるわけではない」。調査会社Gartnerでアナリストを務めるミッチェル・シュナイダー氏はこう指摘する。シュナイダー氏によると、ペネトレーションテスト担当者やレッドチーム(模擬的な攻撃を実施するチーム)が、即座に自動ペネトレーションテストに置き換わることはない。
手動と自動のペネトレーションテストを組み合わせた「PTaaS」(Pen Testing as a Service)を活用する手もある。すでにNetSPI、Cobalt Labs、Pentest PeopleなどのベンダーがPTaaSを提供中だ。PTaaSは企業がコンプライアンス(法令順守)といったペネトレーションテストのニーズを満たす手助けをする。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
SASのCMOが語る マーケティング部門が社内の生成AI活用のけん引役に適している理由
データとアナリティクスの世界で半世紀近くにわたり知見を培ってきたSAS。同社のCMOに、...
SALES ROBOTICSが「カスタマーサクセス支援サービス」を提供
SALES ROBOTICSは、カスタマーサクセスを実現する新サービスの提供を開始した。
「Fortnite」を活用 朝日広告社がメタバース空間制作サービスとマーケティング支援を開始
朝日広告社は、人気ゲーム「Fortnite」に新たなゲームメタバース空間を公開した。また、...