図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に置いています。ですので脆弱性診断を定期的に行う事でどのような脆弱性が存在しているかを認識して、必要に応じて担当者に修正を行ってもらうのが一般的な流れです。

一方でペンテスト(ペネトレーションテスト)は脆弱性が悪用された場合にどのような影響があるかを攻撃者の目線で検証することを重点に置いています。ペンテストのペンはペネトレーションの略で「侵入」という意味があります。つまり攻撃者目線の侵入テストという事です。

脆弱性診断

脆弱性診断は脆弱性スキャンを行ってその結果を報告するのが一般的です。脆弱性スキャンとは対象のサーバに対して様々なパターンの通信やコマンドを送信することによって対象サーバの基本情報やアプリケーションのバージョン等を収取することで、どのような脆弱性を持っているかを確認します。脆弱性スキャンは実際にはその脆弱性が存在しているか否かは100%正しく判断できない場合があります。つまり、アプリケーションのバージョン等によって対象サーバが持っているだろうと思われる脆弱性を指摘するのです。

もちろん、脆弱性の特性によってはその脆弱性があるか否かをコマンド等で判断することも可能ですので、どこまで情報を収集できるかは脆弱性スキャンの製品や脆弱性そのものの特性に依存します。

脆弱性診断

ペンテスト(ペネトレーションテスト)

ペンテストは脆弱性を利用してどこまで情報が搾取されるのかを実際に検証します。つまり、ある程度攻撃者の立場になって対象サーバを診断します。脆弱性診断ではその脆弱性そのものがどのようなビジネスインパクトを与えるのかは判断できませんが、ペンテストでは脆弱性を悪用した場合の被害をある程度明確にすることができます。例えば、あるWebサーバへのペンテストを行う場合に、そのWebサーバが利用している認証サーバ経由でDBサーバまでアクセスして機密情報を収集する事を実証してみせたりします。

ペンテストとは

このようにペンテストは脆弱性診断とちがってよりスキルのあるセキュリティ技術者によって行われる必要があります。また、ペンテストを行う場合は対象サーバのオーナーや関連サービスのオーナーと同意を得て、実サービスに影響のないように行う必要があります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

no image

危険なパスワード2017

調査会社のSplashDataが2017年の危険なパスワード100「Worst Passwords of 2017 Top 100」を公開しました。ひとまずランキング1位から10位を紹介します。 Ra …

第5の戦場、サイバー空間 図解サイバーセキュリティ用語

戦争の歴史は「陸」での争いに始まり船で「海」で各地に進出し、戦闘機で「空」を制覇することで進化を遂げていきました。ここまでを第1の戦場、第2の戦場、第3の戦場と呼んでいました。最近では第4の戦場として …

HTTP GET Flood攻撃 (F5攻撃) 図解サイバーセキュリティ用語

HTTP GET Floodは別名F5攻撃ともいわれます。F5とはキーボードのF5の事です。インターネットブラウザを表示している時にF5を押すとどのようになるかご存知ですか?今F5を実行してみてくださ …

アドウェア(Adware)とは?

アドウェア(Adware)とは、ブラウザのツールバーに組み込まれたり、OSのスタートアップに登録されたりして勝手に広告のポップアップ画面などを表示するプログラムの事を言います。アドウェアの多くは広告を …