Edgio Logo
  • Products

    Applications

    Security

    Multi-layer edge WAAP with integrated bot management, DDoS and API protections boosts security without sacrificing performance.

    Performance

    Lightning-fast, modern CDN and global edge network that delivers sub-second websites that boost conversions, revenue, and traffic.

    Sites

    Build the fastest, most scalable websites using the leading frontend platform with integrated CDN and multi-layered security.

    Media

    Uplynk

    Operate, monetize and deliver personalized streams to millions of viewers with a fraction of the resources.

    Delivery

    Accelerate and protect the delivery of your content over the world's most performant network.

    Open Edge

    Improve the viewing experience by integrating the edge into your network.

    Services and Support

  • Solutions

    Maximizing Website Performance

    Achieve dramatically faster page loads and better user experiences.

    Developer Team Velocity

    Enable teams to release updates more often and with higher confidence.

    Protect Websites and Applications

    Thwart attacks and protect business-critical applications and APIs.

    Broadcast Transformation

    Expand reach and generate revenue opportunities with our global streaming technology.

    Live Streaming

    Manage, distribute, and monetize your content.

    Media and Entertainment

    Reach millions of viewers with a proven technology partner.

  • Learn

    Client Stories

    Discover how clients win by building on Edgio.

    Blog & Industry Reports

    Industry, technology, and strategic insights and perspectives.

    Technical Articles

    Comprehensive deep dives into our technology.

    Tutorials

    Step-by-step expert guides on how to implement our products.

    Help Center

    Extensive resources on everything Edgio.

    Docs

    Technical documentation for implementation and integration.

  • Company

    About

    Learn why Edgio is the platform of choice to power valuable business outcomes.

    Leadership

    Meet the people who build the teams, services and solutions.

    Investors

    Get up to speed on our strategy, plans and performance.

    Press

    Read the latest on how our technology and solutions deliver value.

    Careers

    Discover career opportunities where you contribute and thrive.

    Legal

    Compliance, policies and resources - the fine print to keep everyone safe.

    Contact

    We’re here to help with every step along the way - from product implementation to invoice questions.

    Environmental, Social & Governance

    Our commitment to improve today’s environmental and societal challenges.

Talk To An Expert
Try Edgio
Edgio Logo

Edgio Blog

ペネトレーションテストと脆弱性診断の違いとは?

システムの脆弱性を検証する手法に「ペネトレーションテスト」と「脆弱性診断」があります。どちらもシステムやネットワークを安心して使う上で欠かせないものだけに、両者が混同されてしまうこともしばしばです。この記事ではペネトレーションテストと脆弱性診断の違いについて解説していきます。

ペネトレーションテストと脆弱性診断

ペネトレーションテストと脆弱性診断の違いについて見ていく前に、まずはそれぞれの定義を簡単におさらいしましょう。

ペネトレーションテストとは

ペネトレーションテストとはネットワーク経由での侵入を試みる「疑似攻撃」によってシステムの安全性を検証する手法です。実施者が攻撃者の目線に立ち、あらかじめ作成したシナリオに従いながら、実際に攻撃を行う点が大きな特徴です。

脆弱性診断とは

一方の脆弱性診断とは、システムを構成するハードウェアやソフトウェアに脆弱性がないかどうか診断することです。システムを情報セキュリティの規格・基準と照らし合わせ、対象となるシステムの脆弱性を網羅的に洗い出す点が特徴です。なお脆弱性診断はサイバーセキュリティ会社によって「セキュリティ検査」や「セキュリティ診断」と呼ばれることもあります。

ペネトレーションテストと脆弱性診断の違い

ここからはペネトレーションテストと脆弱性診断の違いについて、「目的」「手法」「調査対象」「結果報告」の4項目に分けて説明していきます。

①目的の違い

ペネトレーションテストと脆弱性診断は、そもそもの「目的」から違います。

まずペネトレーションテストは、外部からシステムに侵入できるかどうか知ることが目的です。テストの実施者は対象となるシステムに疑似攻撃を行い、セキュリティホールが見つかった場合は実際に内部に侵入します。また侵入後に攻撃者がどこまで被害を広げることができるか、被害レベルを調査することも目的の一部です。

これに対し脆弱性診断の場合、目的は対象となるシステムの脆弱性や不備を網羅的、つまり「すべて洗い出す」ことです。診断を受ける企業は自社のシステムにどれほどのセキュリティホールがあるかを認識し、攻撃に備えることができます。

②手法の違い

利用される「手法」にも違いがあります。

ペネトレーションテストの手法は、実際に使われている攻撃手法や疑似マルウェアなどを使って疑似攻撃を行うというものです。実施者は準備段階として関係者にヒアリングをしたり、システムのログを取得したりして、得られた情報や対象企業との打ち合わせを通して疑似攻撃の範囲や手段を決定します。なお疑似攻撃といっても、あくまで安全な環境の中で行うためシステムに危険はありません。

脆弱性診断の方は、あらかじめ決められている定型的な手法で診断を行います。実際に模擬攻撃などを行うのではなく、セキュリティガイドラインなどに従って網羅的に調査を行うのが特徴です。もちろん攻撃(疑似攻撃)によってシステムを危険にさらすことはありません。

③調査対象の違い

テストや診断の「調査対象」も異なります。

まずペネトレーションテストが対象とするのは、対象となる企業が持つすべてのシステムや、指定されたシステムの全体です。テストはシステムの公開前に行われることもありますが、一般には公開後も定期的に実施されます。

脆弱性診断の調査対象となるのは、あらかじめ指定されたWebアプリケーションやサーバーなどです。また対象となるWebアプリケーションなどと関連していても、調査対象として指定されていないWebアプリケーションやIPアドレスの調査は行いません。

④結果報告の違い

最後の「結果報告」にも違いがあります。

ペネトレーションテストの場合、報告書に記載されるのは「シナリオや攻撃の内容」、「(侵入という)目的を達成できたかどうか」、「テストによって判明した新たな脆弱性やシステムの不備」などです。

脆弱性診断では、報告書にはリスクの高低にかかわらず「発見されたすべての脆弱性」が網羅的に記載されます。

ペネトレーションテストと脆弱性診断の費用と期間

ペネトレーションテストと脆弱性診断の違いについて見てきましたが、両者には似ている部分や共通する部分もあります。

そのひとつが「費用」です。どちらのテスト/診断も使用するツールや対象となるシステムの規模(範囲)、作業時間、専門技術者の数などによって費用が大きく変化します。ただ一般的な傾向として、高度な技術を必要とするペネトレーションテストの方が高額です。

もうひとつ、テストや診断にかかる「期間」も1週間程度〜数か月の範囲で、それぞれ大きく変動します。こちらも一般的に、ペネトレーションテストの方が時間がかかります。

まとめ

ペネトレーションテストと脆弱性診断は、目的から手法、調査対象、結果報告に至るまで異なります。自社のシステムの安全性や脆弱性を確認する場合は、どちらの調査を行うべきか、専門家とよく話し合って決めるようにしましょう。

PRODUCTS

LEARN

COMPANY

LEGAL