トップ > 用語解説 > ネットワーク関係 > ペネトレーションテスト
ペネトレーションテスト(ペンテスト)は、ネットワーク、PC・サーバーやシステムの脆弱性を検証するテスト手法の1つです。 実際にネットワークに接続しシステムに攻撃を仕掛け侵入を試みることから、「侵入テスト」と呼ばれることもあります。 組織が実際にサイバー攻撃を受けた場合、実施しているセキュリティ対策がどこまで耐えられるかなどを評価するため、 想定される攻撃シナリオに沿って幅広くテストを行い、課題を洗い出します。 実際に攻撃される場合と同じ手法で行う必要があるため、多くの場合、専門の技術者が提供しているサービスを利用して実施します。
まずメリットとして挙げられるのが、実際にシステムに侵入できるのかという具体的な検証ができることです。 ペネトレーションテストではサイバー攻撃を仕掛ける側の視点に立って、正規ではない技術や方法も駆使しながらシステムへの侵入を試みるため、 非常にリアリティのあるテストができます。 また、テストのためのシナリオは、対象となるシステムの構成、使用されているハードウェアやソフトウェアの種類などについて、 全て調べ上げたうえで作成します。つまり、自社の環境に個別に対応したテストを実施することができます。
そしてもう一つのメリットは、一般的なセキュリティ対策を社内の人間が実施する場合、全てのぜい弱性の確認をするのは時間も手間もかかりますが、 ペネトレーションテストであればもっと効率的・効果的に、第三者視点からの自社環境の弱点を知ることができます。
ペネトレーションテストを実施することで、セキュリティホールを可視化することが可能です。 攻撃者の視点から作成したシナリオに沿って侵入を試みて検証するため、侵入が成功した場合にはセキュリティホールがあるということが分かります。 例えば、公開されているWebサーバーからの侵入には失敗したものの、企業内部のネットワークから本来アクセスできないはずの機密情報の窃取には成功した、 といった検証結果が出ることがあるでしょう。 その場合は、内部のネットワークや認証システムをセキュリティホールとみなし、対策を実施することが可能です。 ペネトレーションテストではこのように、様々なシナリオを設定して侵入を試みてセキュリティホールを可視化できます。
ペネトレーションテストでは、単にセキュリティホールを可視化するだけではなく、セキュリティを強化するために必要な対策を提示することも可能です。 ペネトレーションテストでは、実際に侵入を検証して終わりではなく、そのテスト結果を基に脆弱性や不備を分析し、攻撃経路や詳細を報告する必要があります。 ただテストを行うだけでなく、その結果をふまえた分析や対処方法の提示まで受けられるため、セキュリティを強化することができます。
経済産業省は、情報セキュリティサービスの利用者が当該サービスを安心して利用できる環境を醸成するため、 独立行政法人情報処理推進機構(IPA)を通じて、基準を満たしたサービスのリストを登録し公表する 「情報セキュリティサービス審査登録制度」を運営しています。 今般、同制度のより一層の普及を図るべく、同制度の根拠となる「情報セキュリティサービス基準」を改訂し、 「ペネトレーションテスト(侵入試験)サービス」を、同制度の登録対象区分として新たに追加しました。