図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に置いています。ですので脆弱性診断を定期的に行う事でどのような脆弱性が存在しているかを認識して、必要に応じて担当者に修正を行ってもらうのが一般的な流れです。

一方でペンテスト(ペネトレーションテスト)は脆弱性が悪用された場合にどのような影響があるかを攻撃者の目線で検証することを重点に置いています。ペンテストのペンはペネトレーションの略で「侵入」という意味があります。つまり攻撃者目線の侵入テストという事です。

脆弱性診断

脆弱性診断は脆弱性スキャンを行ってその結果を報告するのが一般的です。脆弱性スキャンとは対象のサーバに対して様々なパターンの通信やコマンドを送信することによって対象サーバの基本情報やアプリケーションのバージョン等を収取することで、どのような脆弱性を持っているかを確認します。脆弱性スキャンは実際にはその脆弱性が存在しているか否かは100%正しく判断できない場合があります。つまり、アプリケーションのバージョン等によって対象サーバが持っているだろうと思われる脆弱性を指摘するのです。

もちろん、脆弱性の特性によってはその脆弱性があるか否かをコマンド等で判断することも可能ですので、どこまで情報を収集できるかは脆弱性スキャンの製品や脆弱性そのものの特性に依存します。

脆弱性診断

ペンテスト(ペネトレーションテスト)

ペンテストは脆弱性を利用してどこまで情報が搾取されるのかを実際に検証します。つまり、ある程度攻撃者の立場になって対象サーバを診断します。脆弱性診断ではその脆弱性そのものがどのようなビジネスインパクトを与えるのかは判断できませんが、ペンテストでは脆弱性を悪用した場合の被害をある程度明確にすることができます。例えば、あるWebサーバへのペンテストを行う場合に、そのWebサーバが利用している認証サーバ経由でDBサーバまでアクセスして機密情報を収集する事を実証してみせたりします。

ペンテストとは

このようにペンテストは脆弱性診断とちがってよりスキルのあるセキュリティ技術者によって行われる必要があります。また、ペンテストを行う場合は対象サーバのオーナーや関連サービスのオーナーと同意を得て、実サービスに影響のないように行う必要があります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

キーロガーとは 図解サイバーセキュリティ用語

キーロガー(keylogger)とはパソコン等のキーボードの入力を監視してそれを記録するソフトウェアの事を言います。キーロガーによって記録された情報からユーザが何をタイプしたのかがわかります。つまり、 …

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、個人の情報や企業情報などをコンピュータやネットワーク経由で入手するのではなく、物理的な手段もしくは心理的な手段によって入手する事を言います。ソーシャルエンジニアリングは …

ハッシュ関数、MD5とSHAとは?

ハッシュ関数とは、あるデータをインプットとしてそのデータを要約する16進数の数列を生成する関数の事を言います。ハッシュ関数はデータ固有の値(ハッシュ値)を生成しますので、データが違うとそのハッシュ値も …

バックドア(backdoor)とは? 図解サイバーセキュリティ用語

バックドア(backdoor)は日本語では「裏口」という意味がありますが、セキュリティ用語では不正に仕込まれたトロイの木馬などのマルウェアの事で、C2サーバ経由で外部の攻撃者のコマンドを受け入れてパソ …

辞書攻撃(ディクショナリ攻撃) 図解サイバーセキュリティ用語

辞書攻撃(ディクショナリ攻撃)はユーザのパスワードや暗号キーを解読するために行う攻撃の1つです。コンセプトはブルートフォース攻撃と同じですが、辞書攻撃はブルートフォースより効率よく短時間で攻撃を行う事 …