ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。
第1回「『手動ペネトレーションテスト』でしか調べられない脆弱性とは?」、第2回「『自動ペネトレーションテストツール』が役立つのは“あれ”が多い企業」、第3回「『自動ペネトレーションテストツール』を過信してはいけない 専門家の懸念は?」の3回にわたり、実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)の手段を紹介した。ペネトレーションテストには手動と自動の2種類がある。企業はペネトレーションテストをどのように選ぶべきなのか。最終回となる本稿は、その指針を示す。
ペネトレーションテストの選択に関して言えば、実は手動と自動のどちらを選ぶかは大きな問題にはなりにくい。むしろ「手動ペネトレーションテストを強化する手段」として自動ペネトレーションテストツールを利用する選択肢が有力だ。
「自動ペネトレーションテストツールは、世の中に存在する全種類のペネトレーションテストを完全に実行できるわけではない」。調査会社Gartnerでアナリストを務めるミッチェル・シュナイダー氏はこう指摘する。シュナイダー氏によると、ペネトレーションテスト担当者やレッドチーム(模擬的な攻撃を実施するチーム)が、即座に自動ペネトレーションテストに置き換わることはない。
手動と自動のペネトレーションテストを組み合わせた「PTaaS」(Pen Testing as a Service)を活用する手もある。すでにNetSPI、Cobalt Labs、Pentest PeopleなどのベンダーがPTaaSを提供中だ。PTaaSは企業がコンプライアンス(法令順守)といったペネトレーションテストのニーズを満たす手助けをする。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。