ペネトレーションテスト(侵入テスト)
ぺねとれーしょんてすと
意味
ペネトレーションテスト(侵入テスト)とは、セキュリティの専門家(ホワイトハッカー)が、実際にシステムにサイバー攻撃を仕掛け、脆弱性がないかを検証するテスト。「ペンテスト」。自動ツールでは見つけられない論理的な欠陥や、深刻なセキュリティホールを発見するために行う。
概要
Penetration(貫通・侵入)。 ホワイトハッカー(善意のハッカー)が、依頼された企業のシステムに対して、実際にサイバー攻撃を仕掛けてみて、「本当に侵入できないか?」「どこに弱点があるか?」を検証するテスト。 「ペンテスト」とも呼ばれる。
脆弱性診断との違い
- 脆弱性診断: 「既知の弱点(鍵が開いていないか)」を網羅的にツールでチェックする健康診断のようなもの。
- ペネトレーションテスト: 「鍵が開いていなくても、窓を割ったり、社員を騙して合鍵を盗んだりして、金庫まで辿り着けるか?」という、より実践的で具体的なシナリオ(ゴール)に基づいた模擬演習。
手法
システムのハッキングだけでなく、「標的型メールを送ってクリックさせる(ソーシャルエンジニアリング)」といったアナログな手法も組み合わせて行われることがある。