脆弱性診断とペネトレーションテストは、どちらもセキュリティに関する検査です。しかし検査の目的は明確に異なります。本記事では双方の違いや進め方、検査の実施がおすすめの企業について解説します。脆弱性診断とペネトレーションテストの違いを知り、自社企業・組織にとって必要な検査を選定したいとお考えの際には、ぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストは、どちらもセキュリティに関する診断です。脆弱性診断がシステムの欠陥(脆弱性)を洗い出すのに対して、ペネトレーションテストは攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテストとなります。
実施の目的や調査範囲などの違いは、以下のとおりです。
脆弱性診断 | ペネトレーションテスト | |
---|---|---|
実施の目的 | システムの欠陥や不具合を洗い出すこと | システムの脆弱性から実際に侵入し、目的達成できるかを検証すること |
調査範囲 | アプリやプラットフォームのシステム | インフラや組織・ルールなどを含むシステム全般 |
実施の頻度 | システムの開発・アップデート後が推奨 | 年1・2回が推奨 |
実施の期間 |
|
|
実施の目的が大きく異なるため、調査対象や頻度・期間についても違いがあります。脆弱性診断(セキュリティ診断)とペネトレーションテスト(侵入テスト)について、さらに詳しく見ていきましょう。
脆弱性診断(セキュリティ診断)とは
脆弱性診断とは、OSやネットワーク環境・Webアプリケーション・クラウドなどの脆弱性を洗い出すために行うテストのことです。プログラムの不具合や設計ミスなどが原因で発生し、情報セキュリティとしての弱点となる箇所を脆弱性といいます。脆弱性診断はセキュリティの欠陥を見つける診断のため、セキュリティ診断とも言われるのです。
脆弱性診断には主に2つの手法があります。専門のエンジニアが攻撃者の視点に立ち手動で脆弱性を診断する方法と、ツールを使用して網羅的に診断する方法です。また調査対象により、大きく分けて以下の2種類の診断で脆弱性診断をおこないます。
種類 | 調査対象 |
---|---|
アプリケーション診断 |
|
プラットフォーム診断 |
|
調査対象により診断の種類が明確に分かれており、システム開発やアップデート後に診断をおこなうことが推奨されます。
ペネトレーションテスト(侵入テスト)とは
ペネトレーションテストは侵入テストとも呼ばれ、サイバー攻撃の侵入経路となり得る脆弱性から実際に侵入するテストです。セキュリティやサイバー攻撃の専門家が攻撃者の視点で侵入までのシナリオを想定します。その後、不正アクセスなど攻撃者が目的とする行為が実施できてしまうかどうかをテストするのです。
侵入テストは、セキュリティ専門の調査員がツールと手動で診断するなどの手法で行います。調査対象により内部・外部ペネトレーションテストに分かれ、それぞれの調査対象は以下のとおりです。
種類 | 調査対象 |
---|---|
内部ペネトレーションテスト |
|
外部ペネトレーションテスト |
|
企業などの内部に置かれているシステムか、外部に置かれているシステムかによって、種類分けされています。
脆弱性診断の実施をおすすめする企業
脆弱性診断の実施をおすすめする企業の特徴は、主に以下のとおりです。
- 第三者からセキュリティ診断を受けたことがない
- セキュリティシステムをアップデートした
- 開発したシステムに欠陥がないか確認したい
まず、外部によるセキュリティ診断を一度も受けたことがない場合、脆弱性診断の実施を強くおすすめします。
セキュリティの脆弱性から侵入され攻撃がおこなわれる事例も頻発しており、たびたび情報漏洩などのトラブルに発展しています。そうならないためにも、既存のセキュリティで問題ないか、専門家の目で確認することは重要です。既存セキュリティの問題を洗い出すという観点から、システムアップデート後やシステム自体の開発をおこなっている企業にも、脆弱性診断は必要となるでしょう。
ペネトレーションテストの実施をおすすめする企業
ペネトレーションテストをおすすめするのは、特に以下の5項目に当てはまる企業です。
- 現状のセキュリティ対策や体制を第三者目線で評価したい
- 今後投資すべきセキュリティ対策を知りたい
- サイバー攻撃などを検知する組織(SOC)の精度を明らかにしたい
- セキュリティインシデント後に対応する組織(CSIRT)の能力を向上させたい
- 社内のセキュリティに対する意識を向上したい
導入済みのシステム全体を考慮して、サイバー攻撃の侵入経路となり得る脆弱性から侵入を試みます。そのため、自社のシステム上にどのような脅威に晒されるリスクがあるかを検証できるのです。
攻撃者視点を持った第三者からの評価を受けられ、セキュリティ対策として足りない部分に気付けるでしょう。セキュリティ組織であるSOCやCSIRTの強化につなげることも可能です。
脆弱性診断の基本的なやり方
脆弱性診断は、システムそのものの欠陥を洗い出す診断となります。脆弱性診断の基本的なやり方は、以下のとおりです。
- 対象のシステムの構造などを把握する
- システムを擬似攻撃する
- 問題点を洗い出す
- 報告書を作成する
診断方法は主に2つの方法に分けられ、セキュリティ専門家による手動診断かツール診断です。手動診断は専門家の知見が入り検査が進められるため、複雑なシステムや専門性を要するシステムなどに適しています。対してツール診断は幅広いプログラムで診断でき、コストや診断にかかる日数面などでメリットがあります。
メリット | デメリット | |
---|---|---|
手動診断 |
|
|
ツール診断 |
|
|
脆弱性診断(セキュリティ診断)はセキュリティの専門家が在籍するツールやサービスを選ぶと、自社の状況に合った診断方法を正しく選択しやすいでしょう。
詳細はこちらの記事で解説しています。
ペネトレーションテストの基本的なやり方
ペネトレーションテストは、攻撃者の視点に立ち診断を進めていきます。基本的な流れは、以下のとおりです。
- 企業や組織・団体などのシステムやセキュリティの状況を適切に判断
- 攻撃者目線でテストのシナリオを作成
- シナリオに沿って調査対象へ攻撃を実施
- テスト結果の報告書の作成
手動とツールを用いて診断することが多くなっており、サイバー攻撃やセキュリティに精通している人材の存在が不可欠です。実際の攻撃者の動きや視点でペネトレーションテストをおこなえなければ、実際のシステムを守れるような意味のある調査とはなりません。セキュリティやサイバー攻撃者視点をもった専門会社のサービスを利用するのがおすすめです。
詳細なテスト方法については、こちらの記事で詳しく解説しています。
セキュリティ診断ツールやテストサービスの選び方
脆弱性診断やペネトレーションテストでは、自社のシステムや規模などに適したツール・サービスの選定が重要です。予算だけに注目してしまうと、満足のいく結果が得られないことになりかねません。
診断範囲や診断の深度・費用やアフターフォローなどの観点から企業に合ったサービスを選べるように、選び方のポイントについてそれぞれくわしく解説していきましょう。
脆弱性診断サービスの選び方
脆弱性診断ツールやサービスは、自社のシステムに合わせて以下の内容を考慮し選択するのがよいでしょう。
- 対応範囲
- 専門家の有無
- 診断の手法
- 結果報告の内容
- アフターフォロー
脆弱性診断とひとくちに言っても、さまざまな診断対象システムがあります。まずは自社が診断したいシステムが検査対象になっているかが、選定時に最重要となるでしょう。
また、脆弱性診断は場合により、自動ツールだけでは結果が不十分な可能性があります。より強固なセキュリティ体制を整えるためにも、専門家による手動診断にも対応できるサービスを選ぶべきでしょう。
さらに、診断結果の報告内容やアフターフォローにも留意しましょう。報告書に書かれた結果から何を行えばよいのかわからなければ、脆弱性診断をする意味がありません。報告された結果をもとに次に起こすべき行動がわかりやすく、診断後に質問したり相談したりできる環境があるサービスを選ぶのがよいでしょう。
ペネトレーションテストサービスの選び方
ペネトレーションテストツールやサービスを選ぶ際に重要なのは、以下の4つです。
- 対応範囲
- セキュリティ及びサイバー攻撃の専門家の有無
- 結果報告の内容
- アフターフォロー
ペネトレーションテストは、サイバー攻撃を行う攻撃者の視点が必要なテストです。そのため、セキュリティに精通しているだけでなく攻撃者側の視点も持ち合わせた人材のいるサービスを選びましょう。
また、脆弱性診断と同様に、対応範囲や報告書の内容・アフターフォローにも留意が必要です。診断範囲に自社システムが対応しているか、報告書から「何を行えばよいのか」が読みとれ、必要に応じて質問・相談ができるサービスを選ぶようにしましょう。
まとめ
脆弱性診断とペネトレーションテストは、どちらもセキュリティに関する検査です。しかし目的は大きく異なります。脆弱性診断はシステムから脆弱性を洗い出し、ペネトレーションテストは脆弱性から侵入し、攻撃者が目的を達成できるか確認する検査です。より精度の高い検査結果を得るためには、セキュリティに精通しているだけでなく、サイバー攻撃者側の視点をもつ専門家が在籍しているサービスを選ぶとよいでしょう。
「GMOサイバーセキュリティ byイエラエ」では、ホワイトハッカーが在籍し攻撃者視点も交え脆弱性診断やペネトレーションテストを実施します。そのため、より実践的で精度の高い検査をおこなえます。専門家の意見を取り入れつつセキュリティ環境をより強化したいとお考えの方は、ぜひ一度、GMOサイバーセキュリティbyイエラエにご相談ください。
文責:GMOインターネットグループ株式会社