ペネトレーションテスト(略称:ペンテスト)とは
日本語で「侵入テスト」を意味し、システム全体の観点でサイバー攻撃耐性がどのくらいあるかを試す為に、悪意のある攻撃者が実行するような方法に基づいて実践的にホワイトハットハッカー(※)がシステムに侵入することです。
また、「模擬ハッキング」とも言い、お客様から承諾の元、あらゆるハッキング技術やツールを使って脆弱な箇所に攻撃を行い、セキュリティ機能の回避または無効化を試みながらシステム内部へ侵攻出来るかをテストするものです。
ペネトレーションテストの差は、ハッキング技術の差により生じるため、ホワイトハットハッカーの経験の差がそのままペネトレーションテストの差として現れます。
※コンピューターやネットワークシステムにテストなどの目的で侵入し、セキュリティー上の欠陥を調べたり、悪意をもったハッカーやクラッカーによる不正侵入を監視したりするハッカーのこと。
脆弱性診断とは、
ネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することです。
脆弱性診断を実施し、ネットワーク/サーバ、Webアプリケーションのセキュリティの現状を確認することで、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことができます。
脆弱性診断には対象領域別に、Webアプリケーションを対象とした「Webアプリケーション診断」、システムを構築するサーバーやファイアウォール等のネットワーク機器に対する「プラットフォーム診断」、スマートフォンなどのモバイル端末を対象とする「ネイティブアプリ診断」、IoT機器に対する「IoTセキュリティ診断」などがあります。
ラックによる「脆弱性診断」と「ペネトレーションテスト」の位置付け
(ラック「セキュリティ診断レポート 2020 春 〜標的型攻撃への次の一手『ペネトレーションテスト』」より)