「脆弱性診断」は網羅的により多くの脆弱性を探すことが目的で、攻撃をされるリスクを発見するものであり、「ペネトレーションテスト」は実際に攻撃が成功するかどうかで特定の脆弱性や問題点を発見することで攻撃を予防するものです。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | 悪用された場合に、システムの意図的または意図的ではない侵害につながる可能性のある既知の脆弱性の特定、ランク付け、および報告。 | システムに侵入し、脆弱性を悪用してシステムコンポーネントのセキュリティ機能を、回避または無効化の可能性の特定。 |
| 手法 | 自動化ツールと手動プロセスの組合せで検証 | 脆弱性スキャンやその他自動ツールを使用するが、手動プロセス中心の検証 |
| 期間 | ホスト当りでは、数分程度 | テスト範囲や台数によるが、数日から数週間 |