図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に置いています。ですので脆弱性診断を定期的に行う事でどのような脆弱性が存在しているかを認識して、必要に応じて担当者に修正を行ってもらうのが一般的な流れです。

一方でペンテスト(ペネトレーションテスト)は脆弱性が悪用された場合にどのような影響があるかを攻撃者の目線で検証することを重点に置いています。ペンテストのペンはペネトレーションの略で「侵入」という意味があります。つまり攻撃者目線の侵入テストという事です。

脆弱性診断

脆弱性診断は脆弱性スキャンを行ってその結果を報告するのが一般的です。脆弱性スキャンとは対象のサーバに対して様々なパターンの通信やコマンドを送信することによって対象サーバの基本情報やアプリケーションのバージョン等を収取することで、どのような脆弱性を持っているかを確認します。脆弱性スキャンは実際にはその脆弱性が存在しているか否かは100%正しく判断できない場合があります。つまり、アプリケーションのバージョン等によって対象サーバが持っているだろうと思われる脆弱性を指摘するのです。

もちろん、脆弱性の特性によってはその脆弱性があるか否かをコマンド等で判断することも可能ですので、どこまで情報を収集できるかは脆弱性スキャンの製品や脆弱性そのものの特性に依存します。

脆弱性診断

ペンテスト(ペネトレーションテスト)

ペンテストは脆弱性を利用してどこまで情報が搾取されるのかを実際に検証します。つまり、ある程度攻撃者の立場になって対象サーバを診断します。脆弱性診断ではその脆弱性そのものがどのようなビジネスインパクトを与えるのかは判断できませんが、ペンテストでは脆弱性を悪用した場合の被害をある程度明確にすることができます。例えば、あるWebサーバへのペンテストを行う場合に、そのWebサーバが利用している認証サーバ経由でDBサーバまでアクセスして機密情報を収集する事を実証してみせたりします。

ペンテストとは

このようにペンテストは脆弱性診断とちがってよりスキルのあるセキュリティ技術者によって行われる必要があります。また、ペンテストを行う場合は対象サーバのオーナーや関連サービスのオーナーと同意を得て、実サービスに影響のないように行う必要があります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …

ドロッパーとは? 図解サイバーセキュリティ用語

ドロッパーとはトロイの木馬の一種で、ユーザがドロッパーの実行ファイルを実行すると、ウィルスをシステムにドロップ(生成)します。ドロッパー自体は不正な活動を積極的には行いません。しかもドロッパーはウィル …

サイバーデセプション(Cyber Deception)とは おとりを使った攻めのセキュリティ

デセプションとは「だます」「欺く」という意味があります。サイバーデセプション(Cyber Deception)とは攻撃者をだます事を意味しており、ある工夫によってサイバー攻撃者を騙して攻撃者の情報を収 …

脅威・脆弱性・情報資産そしてリスク 図解サイバーセキュリティ用語

リスク分析を行う際によるあるのが、リスクと脅威・脆弱性をごっちゃ混ぜにして考えてしまい、それぞれの定義を勘違いしてしまうことです。ここでは、リスクとは何か?そしてリスクを構成する要因(脅威・脆弱性・情 …

ゼロデイ攻撃 図解サイバーセキュリティ用語

ゼロデイ攻撃とは、システムやアプリケーションに脆弱性が発見され、ベンダーが修正パッチをリリースする前にその脆弱性を悪用した攻撃の事を言います。ベンダーが提供する修正パッチのリリース日をワンデイ(1 d …