図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に置いています。ですので脆弱性診断を定期的に行う事でどのような脆弱性が存在しているかを認識して、必要に応じて担当者に修正を行ってもらうのが一般的な流れです。

一方でペンテスト(ペネトレーションテスト)は脆弱性が悪用された場合にどのような影響があるかを攻撃者の目線で検証することを重点に置いています。ペンテストのペンはペネトレーションの略で「侵入」という意味があります。つまり攻撃者目線の侵入テストという事です。

脆弱性診断

脆弱性診断は脆弱性スキャンを行ってその結果を報告するのが一般的です。脆弱性スキャンとは対象のサーバに対して様々なパターンの通信やコマンドを送信することによって対象サーバの基本情報やアプリケーションのバージョン等を収取することで、どのような脆弱性を持っているかを確認します。脆弱性スキャンは実際にはその脆弱性が存在しているか否かは100%正しく判断できない場合があります。つまり、アプリケーションのバージョン等によって対象サーバが持っているだろうと思われる脆弱性を指摘するのです。

もちろん、脆弱性の特性によってはその脆弱性があるか否かをコマンド等で判断することも可能ですので、どこまで情報を収集できるかは脆弱性スキャンの製品や脆弱性そのものの特性に依存します。

脆弱性診断

ペンテスト(ペネトレーションテスト)

ペンテストは脆弱性を利用してどこまで情報が搾取されるのかを実際に検証します。つまり、ある程度攻撃者の立場になって対象サーバを診断します。脆弱性診断ではその脆弱性そのものがどのようなビジネスインパクトを与えるのかは判断できませんが、ペンテストでは脆弱性を悪用した場合の被害をある程度明確にすることができます。例えば、あるWebサーバへのペンテストを行う場合に、そのWebサーバが利用している認証サーバ経由でDBサーバまでアクセスして機密情報を収集する事を実証してみせたりします。

ペンテストとは

このようにペンテストは脆弱性診断とちがってよりスキルのあるセキュリティ技術者によって行われる必要があります。また、ペンテストを行う場合は対象サーバのオーナーや関連サービスのオーナーと同意を得て、実サービスに影響のないように行う必要があります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

no image

危険なパスワード2017

調査会社のSplashDataが2017年の危険なパスワード100「Worst Passwords of 2017 Top 100」を公開しました。ひとまずランキング1位から10位を紹介します。 Ra …

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、個人の情報や企業情報などをコンピュータやネットワーク経由で入手するのではなく、物理的な手段もしくは心理的な手段によって入手する事を言います。ソーシャルエンジニアリングは …

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

ディープウェブ、ダークウェブって何? 図解サイバーセキュリティ用語

インターネット上では様々な情報を収集することができますが、良い情報ばかりではありません。インターネットは犯罪者が違法な情報(他人のクレジットカードや個人情報など)や物(麻薬や武器など)を売買するための …

DoSとDDoS 図解サイバーセキュリティ用語

最近よくニュースで、企業のウェブサイトがDoS攻撃を受けてアクセス不能になった、といったような事を聞くと思います。ここではDoSおよびDDoS攻撃について説明します。 DoS攻撃 DoSとはDenia …