お問い合わせ

脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!

セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
mv-image
セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
problem020

020

診断は受けているけど、ペネトレーションテストも受ける必要がある?

katuta

勝田 嵐士

2024年10月29日

企業が自社のセキュリティを強化するためには、まずは自社の現状を確認する必要があることから、様々な診断やテストを実施することが重要です。既に脆弱性診断を受けている企業も多いと思いますが、「ペネトレーションテスト(ペンテスト)も受ける必要があるのか?」という疑問を抱く方もいるのではないでしょうか。

脆弱性診断とペネトレーションテストの違いについては、既に公開したこちらのブログでも触れましたが、今回はなぜペネトレーションテストが必要なのか、その理由に焦点を当てて解説します。

脆弱性診断とペネトレーションテストの違い

まずは、脆弱性診断とペネトレーションテストの違いを理解することが重要です。

  脆弱性診断 ペネトレーションテスト
目的 システムやネットワークの脆弱性を網羅的に検出することで、脆弱性の修正につなげること 脆弱性単体の存在有無ではなく、システム環境全体に対して脆弱性(設定不備、仕様を含む)が及ぼす影響を総合的に評価・監査し、リスクを特定することで結果としてセキュリティ対策の改善につなげること
方法 自動化ツールを使用して既知の脆弱性をスキャンし、検出結果を報告 専門家が実際のサイバー攻撃を模した攻撃シミュレーションを行い、過程で発見した脅威について報告(脅威とは、悪用可能な脆弱性のこと)
範囲 広範囲に対して網羅的な診断が可能だが、システムやネットワークを単体で検査 事前の打ち合わせで決定した攻撃シナリオに従い、システムの深くまで侵入を目指すため、狭く深く検査

脆弱性診断とペネトレーションテストの違いの具体例

例えば、ECサイトがあった場合、脆弱性診断の場合はSQLインジェクションの存在を確認します。しかし、ペネトレーションテストではSQLインジェクションを使ってどのような情報が窃取できるのかといった観点で確認します。

■ 診断方法の違い

pict_01_pc

pict_01_sp

■ 診断対象の違い

pict_02_pc

pict_02_sp

このように、攻撃の深度が異なりますので、検査する観点も異なることとなります。サーバやアプリケーション単体の脆弱性を網羅性に検査できるという観点では脆弱性診断に軍配が上がりますし、サイバーキルチェーンの網羅性の観点ではペネトレーションテストが優位でしょう。

ペネトレーションテストの目的

上記の脆弱性診断とペネトレーションテストの違いを理解した上で、ペネトレーションテストの目的やメリットについて見ていきましょう。

1. コンプライアンス遵守

PCI DSS(クレジットカード決済システム向けセキュリティ基準)やGDPR(EU周辺国に適用される法律)などの規制を含む、多くの業界で定期的なペネトレーションテストを実施することが義務付けられています。これらの規制は個人の利益を守るため、企業に対して顧客情報や個人データを適切に保護することを要求しています。コンプライアンス遵守は顧客の信頼を得るための重要な要素でもあります。

2. 実際のリスクを評価する

上記のようにペネトレーションテストはコンプライアンス遵守にも使われるため、ペネトレーションテストが必須とされていない企業においても、リスク評価として活用されることが増えてきました。

ペネトレーションテストは、発見された脆弱性が実際にどの程度の脅威・リスクを持つのかを評価します。仮に特定の脆弱性が存在する場合でも、その脆弱性が実際に攻撃に利用される可能性(脅威)や、利用された場合の影響範囲(リスク)を具体的に把握できます。また、脆弱性診断では、主に個々の脆弱性を単体として評価し、ランク分けを行いますが、複数の脆弱性が組み合わさった際の分析が限定的です。

一方で、ペネトレーションテストでは、複数の脆弱性が連携して実際にどのように攻撃に利用されるか、より具体的かつ詳細に評価することができます。これにより、脆弱性対応の優先順位を正確に決定し、効率的な対策を講じることができます。

リスク評価を通じて企業は、自社が許容できるリスクの度合いを理解し、そこに基づくセキュリティ戦略を策定できるため、企業はリソースを効果的に配分し、最も重要な資産を優先的に保護することが可能となります。

3. 診断では検出できない「総合的な脆弱性」の検出が可能

一般的な脆弱性診断は、システム単体における既知の脆弱性を、ツールを使って洗い出すことを目的としています。ユービーセキュアの脆弱性診断では、これに加えて専門の技術者による追加検査を実施します。

一方で、ペネトレーションテストは、構築されたシステム環境そのものの脆弱性を、実際の攻撃シナリオを再現してシステムに侵入を試みることで検出します。これにより、システム単体の脆弱性診断では見つからなかった脆弱性や、複数の脆弱性が連携して起こる複雑な攻撃を検出可能です。

ペネトレーションテストでは、攻撃者を模倣してシステムへの侵入を目指すため、攻撃者がどのような経路を辿り、どのような脆弱性を利用するのかを具体的に把握・理解することができます。この情報を使い、システム全体の防御力を強化するための効果的な対策をしましょう。

4. セキュリティ意識の向上

ペネトレーションテストは、システムやネットワークを技術的に評価するだけでなく、従業員のセキュリティ意識を底上げする効果もあります。実際の攻撃シナリオを体験することで、従業員がセキュリティの重要性を再認識し、セキュリティポリシーやベストプラクティスに従う意識が向上するため、組織全体でセキュリティ文化を育むことができます。

また、セキュリティ担当者が別の人に代われば、セキュリティ意識も変わります。そのため、企業が常に高いセキュリティレベルを維持し、サイバー攻撃から自社を守るためには、定期的なペネトレーションテストの実施が重要です。

まとめ

ペネトレーションテストを実施することには、脆弱性診断ではカバーしきれない、多くのメリットがあります。ペネトレーションテストを単なる脆弱性検査のオプションと考えず、「脆弱性診断を踏まえた上で行う実戦的なリスク評価・監査」と捉えるとイメージが湧きやすいでしょう。

両方を組み合わせて実施することで、互いのメリットを生かし、包括的なセキュリティ対策を講じることができます。サイバー攻撃のリスクを最小限に抑えて顧客の信頼を守り、企業の持続的な成長につなげていきましょう。

 

お問い合わせ