Edgio Logo

Edgio Blog

ペネトレーションテストと脆弱性診断の違いとは?

システムの脆弱性を検証する手法に「ペネトレーションテスト」と「脆弱性診断」があります。どちらもシステムやネットワークを安心して使う上で欠かせないものだけに、両者が混同されてしまうこともしばしばです。この記事ではペネトレーションテストと脆弱性診断の違いについて解説していきます。

ペネトレーションテストと脆弱性診断

ペネトレーションテストと脆弱性診断の違いについて見ていく前に、まずはそれぞれの定義を簡単におさらいしましょう。

ペネトレーションテストとは

ペネトレーションテストとはネットワーク経由での侵入を試みる「疑似攻撃」によってシステムの安全性を検証する手法です。実施者が攻撃者の目線に立ち、あらかじめ作成したシナリオに従いながら、実際に攻撃を行う点が大きな特徴です。

脆弱性診断とは

一方の脆弱性診断とは、システムを構成するハードウェアやソフトウェアに脆弱性がないかどうか診断することです。システムを情報セキュリティの規格・基準と照らし合わせ、対象となるシステムの脆弱性を網羅的に洗い出す点が特徴です。なお脆弱性診断はサイバーセキュリティ会社によって「セキュリティ検査」や「セキュリティ診断」と呼ばれることもあります。

ペネトレーションテストと脆弱性診断の違い

ここからはペネトレーションテストと脆弱性診断の違いについて、「目的」「手法」「調査対象」「結果報告」の4項目に分けて説明していきます。

①目的の違い

ペネトレーションテストと脆弱性診断は、そもそもの「目的」から違います。

まずペネトレーションテストは、外部からシステムに侵入できるかどうか知ることが目的です。テストの実施者は対象となるシステムに疑似攻撃を行い、セキュリティホールが見つかった場合は実際に内部に侵入します。また侵入後に攻撃者がどこまで被害を広げることができるか、被害レベルを調査することも目的の一部です。

これに対し脆弱性診断の場合、目的は対象となるシステムの脆弱性や不備を網羅的、つまり「すべて洗い出す」ことです。診断を受ける企業は自社のシステムにどれほどのセキュリティホールがあるかを認識し、攻撃に備えることができます。

②手法の違い

利用される「手法」にも違いがあります。

ペネトレーションテストの手法は、実際に使われている攻撃手法や疑似マルウェアなどを使って疑似攻撃を行うというものです。実施者は準備段階として関係者にヒアリングをしたり、システムのログを取得したりして、得られた情報や対象企業との打ち合わせを通して疑似攻撃の範囲や手段を決定します。なお疑似攻撃といっても、あくまで安全な環境の中で行うためシステムに危険はありません。

脆弱性診断の方は、あらかじめ決められている定型的な手法で診断を行います。実際に模擬攻撃などを行うのではなく、セキュリティガイドラインなどに従って網羅的に調査を行うのが特徴です。もちろん攻撃(疑似攻撃)によってシステムを危険にさらすことはありません。

③調査対象の違い

テストや診断の「調査対象」も異なります。

まずペネトレーションテストが対象とするのは、対象となる企業が持つすべてのシステムや、指定されたシステムの全体です。テストはシステムの公開前に行われることもありますが、一般には公開後も定期的に実施されます。

脆弱性診断の調査対象となるのは、あらかじめ指定されたWebアプリケーションやサーバーなどです。また対象となるWebアプリケーションなどと関連していても、調査対象として指定されていないWebアプリケーションやIPアドレスの調査は行いません。

④結果報告の違い

最後の「結果報告」にも違いがあります。

ペネトレーションテストの場合、報告書に記載されるのは「シナリオや攻撃の内容」、「(侵入という)目的を達成できたかどうか」、「テストによって判明した新たな脆弱性やシステムの不備」などです。

脆弱性診断では、報告書にはリスクの高低にかかわらず「発見されたすべての脆弱性」が網羅的に記載されます。

ペネトレーションテストと脆弱性診断の費用と期間

ペネトレーションテストと脆弱性診断の違いについて見てきましたが、両者には似ている部分や共通する部分もあります。

そのひとつが「費用」です。どちらのテスト/診断も使用するツールや対象となるシステムの規模(範囲)、作業時間、専門技術者の数などによって費用が大きく変化します。ただ一般的な傾向として、高度な技術を必要とするペネトレーションテストの方が高額です。

もうひとつ、テストや診断にかかる「期間」も1週間程度〜数か月の範囲で、それぞれ大きく変動します。こちらも一般的に、ペネトレーションテストの方が時間がかかります。

まとめ

ペネトレーションテストと脆弱性診断は、目的から手法、調査対象、結果報告に至るまで異なります。自社のシステムの安全性や脆弱性を確認する場合は、どちらの調査を行うべきか、専門家とよく話し合って決めるようにしましょう。