「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性ペネトレーションテストは手動か自動か【第4回】

ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。

2022年05月27日 08時15分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ | 脆弱性 | テストツール


 第1回「『手動ペネトレーションテスト』でしか調べられない脆弱性とは?」、第2回「『自動ペネトレーションテストツール』が役立つのは“あれ”が多い企業」、第3回「『自動ペネトレーションテストツール』を過信してはいけない 専門家の懸念は?」の3回にわたり、実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)の手段を紹介した。ペネトレーションテストには手動と自動の2種類がある。企業はペネトレーションテストをどのように選ぶべきなのか。最終回となる本稿は、その指針を示す。

ペネトレーションテストを手動でやるか、自動でやるか

会員登録(無料)が必要です

 ペネトレーションテストの選択に関して言えば、実は手動と自動のどちらを選ぶかは大きな問題にはなりにくい。むしろ「手動ペネトレーションテストを強化する手段」として自動ペネトレーションテストツールを利用する選択肢が有力だ。

 「自動ペネトレーションテストツールは、世の中に存在する全種類のペネトレーションテストを完全に実行できるわけではない」。調査会社Gartnerでアナリストを務めるミッチェル・シュナイダー氏はこう指摘する。シュナイダー氏によると、ペネトレーションテスト担当者やレッドチーム(模擬的な攻撃を実施するチーム)が、即座に自動ペネトレーションテストに置き換わることはない。

 手動と自動のペネトレーションテストを組み合わせた「PTaaS」(Pen Testing as a Service)を活用する手もある。すでにNetSPI、Cobalt Labs、Pentest PeopleなどのベンダーがPTaaSを提供中だ。PTaaSは企業がコンプライアンス(法令順守)といったペネトレーションテストのニーズを満たす手助けをする。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/07 UPDATE

  1. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  2. 5種類のファイアウォールの違いを解説 みんな違ってみんな良い?
  3. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは
  4. Androidスマホが示す7つの“危険な兆候”とは? 今すぐやるべきマルウェア対策
  5. あの決済方法は「クレカ情報流出」が起きやすい? 安全な方法は
  6. ランサムウェア攻撃を受けても「身代金を支払わなくなった」のはなぜか
  7. 「App Store」や「Google Play」で“危険なアプリ”を見極める方法
  8. 「セキュリティエンジニア」としての道が開けるオンライン講座7選
  9. 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
  10. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方