5分で分かる「脆弱性診断」と「ペネトレーションテスト」の違い
Webサイトやアプリを安全に保つって、大変ですよね。。。
「セキュリティ対策は必須!」と言われても、「何から手をつければいいの?」と感じている方も多いのではないでしょうか。
この記事では、数あるセキュリティ対策の中でもよく耳にする「脆弱性診断」と「ペネトレーションテスト」の違い、さらには使い分け方のポイントにまで5分で読めるように解説します!
【1】脆弱性診断とは?:システムの「健康診断」です
脆弱性診断は、システムに存在する弱点(脆弱性)を広く、もれなく洗い出すための健康診断のようなものです。
これは家に例えると、家の鍵や窓が壊れていないか、既知の欠陥がないかを確認するようなイメージです。
どのように実施するの?
「脆弱性スキャナー」という専門ツールを利用して自動的に実施する場合や、専門家による手動での診断も併用するケースがあります。
何を基準にチェックするの?
情報処理推進機構(IPA)やOWASPといった団体が発行している国際的なガイドラインに基づき、システムの隅々までチェックします。
また、CWEというリストを用いてSQLインジェクションやクロスサイトスクリプティング(XSS)といった一般的な脆弱性が無いかどうかもチェックしていきます。
このテストのゴールは、「どこに弱点があるか」を網羅的に見つけて、報告することです。
脆弱性診断の結果、検出された脆弱性の深刻度に基づき、システムのセキュリティレベルを算出してご報告します。
【2】ペネトレーションテストとは?:プロの「侵入訓練」です
ペネトレーションテスト(Penetration Testing)は、「侵入テスト」とも呼ばれ、実際に攻撃者がどうやってシステムに侵入し、機密情報を盗むかをシミュレーションするテストです。
これは、泥棒が実際に家に侵入しようと試み、どの窓から入れるか、金庫を破れるかなどを確かめる「侵入訓練」のようなものです。
どのように実施するの?
専門家が攻撃者の視点に立ち、様々な手口を組み合わせて侵入を試みます。
ここでは、自動ツールだけでなく、攻撃者の思考を再現する専門家のスキルが重要になります。
複数の脆弱性を組み合わせた複合的な攻撃や、社内ネットワークへの侵入など、より実践的なテストが行われます。
このテストのゴールは、「どこまで侵入可能か、被害はどこまで広がるか」を検証することです。
ペネトレーションテストはセキュリティレベルにとどまらず、実際の被害例までご報告します。
【3】結局、どちらを選べばいいの?
両社の違いをまとめました!
システム開発の初期段階や、定期的なセキュリティチェックには、脆弱性診断が適しています。これにより、一般的な脆弱性を効率的に排除できます。
一方で「機密性の高い情報を扱うシステム」や「標的型攻撃への対策」を確認したい場合には、ペネトレーションテストが有効です。
レオンテクノロジーでは、テスト内容を一から設計するカスタムプランだけではなく、よくあるテストケースをベースにしたパッケージプランもご用意しています。
パッケージプランでは、準備期間やコストを最小限に抑えた形でペネトレーションテストを開始いただけます!
(以上、宣伝でした。)
多くの場合、まずは脆弱性診断で基本的なセキュリティレベルを確保し、その上で必要に応じてペネトレーションテストを実施するという流れがおすすめです。
【4】さいごに
これらの違いについてはご理解いただけましたでしょうか?
とはいえ、まだまだ疑問やお悩みが尽きないご担当者様も多いのではないでしょうか。
・前任が居なくなり、過去に実施した診断や調査も良く分からない。
・概要は分かったけど、具体的に何をするの?
・ペネトレーションテストをやってみたいけど、何を準備すればいい?
・何も詳しくないのに対応することになった。もう全部任せたいんだけど…。
などなど
このようなお悩みがあれば、ぜひお問い合わせください!
お客様のご状況を伺いながら、個々に最適なセキュリティ対策を一緒に考え、ご提案させていただきます。
