セキュリティ用語集
ペネトレーションテスト
| 用語の別名 | Penetration-Test、侵入テスト |
| ジャンル | [攻撃][防御] |
| 内容 | 稼動済みまたは新規に構築したシステムに対し、システムが抱えている可能性がある脆弱性やインシデントに特化したテストや擬似攻撃を行うことによって、セキュリティに関わる問題点を洗い出すことを目的にした検証作業です。通常のシステムテストでは、基本的には設計者の意図どおりに動作しているかどうかのテストしか実施していないので、見落とされている問題点やシステムそのものが持っている脆弱性を見つけることが出来ません。 テストの方法は特に決まっていませんが、システムで使用されているハードウェアやソフトウェアに関するセキュリティ情報を全て調べて実施するのは不可能なので、専用のツールを使用してシステム全体をスキャンした結果で判断するのが一般的です。もちろんこれで完璧とは言えませんが、専用のツールに搭載されているチェック機能をクリアできれば充分ではないかという判断と、どれだけやっても完璧にはならないという判断で、妥協できるところではないかと考えられます。しかし、システム上のアプリケーション部分に関しては、システムによって内容が全く異なるので共通のテスト方法がなく、検証は困難です。この部分に関しては、専門の業者に依頼して実際に色々な方法でアタックしてもらうか、バッファオーバフローなどの一般に知られている攻撃を試してお茶を濁すしかありません。いずれにしても、ほとんど生産性のない作業には違いないので、リスクやコストとの折り合いが難しい作業の1つといえます。 |
ネットワークセキュリティ関係者の部屋 > gLOSSARY > ペネトレーションテスト