「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性ペネトレーションテストは手動か自動か【第4回】

ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。

2022年05月27日 08時15分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第1回「『手動ペネトレーションテスト』でしか調べられない脆弱性とは?」、第2回「『自動ペネトレーションテストツール』が役立つのは“あれ”が多い企業」、第3回「『自動ペネトレーションテストツール』を過信してはいけない 専門家の懸念は?」の3回にわたり、実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)の手段を紹介した。ペネトレーションテストには手動と自動の2種類がある。企業はペネトレーションテストをどのように選ぶべきなのか。最終回となる本稿は、その指針を示す。

ペネトレーションテストを手動でやるか、自動でやるか

 ペネトレーションテストの選択に関して言えば、実は手動と自動のどちらを選ぶかは大きな問題にはなりにくい。むしろ「手動ペネトレーションテストを強化する手段」として自動ペネトレーションテストツールを利用する選択肢が有力だ。

 「自動ペネトレーションテストツールは、世の中に存在する全種類のペネトレーションテストを完全に実行できるわけではない」。調査会社Gartnerでアナリストを務めるミッチェル・シュナイダー氏はこう指摘する。シュナイダー氏によると、ペネトレーションテスト担当者やレッドチーム(模擬的な攻撃を実施するチーム)が、即座に自動ペネトレーションテストに置き換わることはない。

 手動と自動のペネトレーションテストを組み合わせた「PTaaS」(Pen Testing as a Service)を活用する手もある。すでにNetSPI、Cobalt Labs、Pentest PeopleなどのベンダーがPTaaSを提供中だ。PTaaSは企業がコンプライアンス(法令順守)といったペネトレーションテストのニーズを満たす手助けをする。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...