図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に置いています。ですので脆弱性診断を定期的に行う事でどのような脆弱性が存在しているかを認識して、必要に応じて担当者に修正を行ってもらうのが一般的な流れです。

一方でペンテスト(ペネトレーションテスト)は脆弱性が悪用された場合にどのような影響があるかを攻撃者の目線で検証することを重点に置いています。ペンテストのペンはペネトレーションの略で「侵入」という意味があります。つまり攻撃者目線の侵入テストという事です。

脆弱性診断

脆弱性診断は脆弱性スキャンを行ってその結果を報告するのが一般的です。脆弱性スキャンとは対象のサーバに対して様々なパターンの通信やコマンドを送信することによって対象サーバの基本情報やアプリケーションのバージョン等を収取することで、どのような脆弱性を持っているかを確認します。脆弱性スキャンは実際にはその脆弱性が存在しているか否かは100%正しく判断できない場合があります。つまり、アプリケーションのバージョン等によって対象サーバが持っているだろうと思われる脆弱性を指摘するのです。

もちろん、脆弱性の特性によってはその脆弱性があるか否かをコマンド等で判断することも可能ですので、どこまで情報を収集できるかは脆弱性スキャンの製品や脆弱性そのものの特性に依存します。

脆弱性診断

ペンテスト(ペネトレーションテスト)

ペンテストは脆弱性を利用してどこまで情報が搾取されるのかを実際に検証します。つまり、ある程度攻撃者の立場になって対象サーバを診断します。脆弱性診断ではその脆弱性そのものがどのようなビジネスインパクトを与えるのかは判断できませんが、ペンテストでは脆弱性を悪用した場合の被害をある程度明確にすることができます。例えば、あるWebサーバへのペンテストを行う場合に、そのWebサーバが利用している認証サーバ経由でDBサーバまでアクセスして機密情報を収集する事を実証してみせたりします。

ペンテストとは

このようにペンテストは脆弱性診断とちがってよりスキルのあるセキュリティ技術者によって行われる必要があります。また、ペンテストを行う場合は対象サーバのオーナーや関連サービスのオーナーと同意を得て、実サービスに影響のないように行う必要があります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ドロッパーとは? 図解サイバーセキュリティ用語

ドロッパーとはトロイの木馬の一種で、ユーザがドロッパーの実行ファイルを実行すると、ウィルスをシステムにドロップ(生成)します。ドロッパー自体は不正な活動を積極的には行いません。しかもドロッパーはウィル …

ステガノグラフィー(steganography)とは?

ステガノグラフィー(steganography)とは、主に画像などのデータに他のデータやメッセージを埋め込む事でデータ・メッセージを隠蔽するための技術の事を言います。 一般的に暗号データは暗号化されて …

DoSとDDoS 図解サイバーセキュリティ用語

最近よくニュースで、企業のウェブサイトがDoS攻撃を受けてアクセス不能になった、といったような事を聞くと思います。ここではDoSおよびDDoS攻撃について説明します。 DoS攻撃 DoSとはDenia …

情報セキュリティのCIAとは?

CIAというと、米国の諜報機関である中央情報局(Central Intelligence Agency)や監査系の資格であるCertified Internal Auditorの略と思う方が多いと思い …

フィッシングメールとは 図解サイバーセキュリティ用語

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と …