使用するツールやサービスによって実施方法は異なりますが、大体以下のような流れで実施されます。
| 順序 | 内容 |
|---|---|
| 1.ヒアリング・準備 | テスト対象のシステムのネットワークの構成、個人情報や機密情報の保管状態、アクセスログなどの取得状況などを考慮し、どのような診断・テストを行うかシナリオを作成 |
| 2.攻撃・侵入テスト | 作成したシナリオに従って攻撃・侵入を実施して、結果を記録。自動的に行われるテストや、手動で行うテストや確認など様々な方法で攻撃・侵入を実施。 |
| 3.報告書の作成 | テスト結果をまとめ、報告書を作成。 |
攻撃者が実際に攻撃するときには、いきなりネットワーク越しに不正アクセスを行うのではなく、まず情報収集から始めることがあります。
複数の方法を使い、システムの情報や機密情報を盗もうとします。そこで盗んだ情報を悪用して、実際にシステムに攻撃・侵入を行うケースも数多くあります。
また、攻撃・侵入テストの方法には大きく分けて4つあります
ホワイトボックステスト
テスト対象のシステムの内部の構造を把握した上で、顧客に合わせた内容でテストを行う。
ブラックボックステスト
テスト対象のシステムの内部構造は考慮せずに、外部から把握できる機能を検証するテスト。
外部ペネトレーションテスト
攻撃者がシステムの外部から攻撃してくることを想定したテスト。
内部ペネトレーションテスト
システムの内部にすでに攻撃者が侵入していることを想定したテスト。
一般的にペネトレーションテストを行う際は、ホワイトボックステストとブラックボックステストを組みあわせて複合的にテストを行います。
インターネットを経由した外部からの攻撃を想定してブラックボックステストを行う。あるいは、内部犯行を想定してホワイトボックステストを実施するなど、あらかじめ攻撃手法を想定してテストを行う事もあります。
ペネトレーションテストを実施した後は、報告書やレポートなど作成することがあります。
攻撃に成功した回数や時間、管理者権限の取得の経路などをまとめたレポートです。脆弱性が存在する箇所については具体的な対策方法なども提示されます。