ホーム > ブログ記事 > ペネトレーションテストと脆弱性診断の違いとは?
 

ペネトレーションテストと脆弱性診断の違いとは?

2016-03-05 8:52 PM

結論から申しますと、ペネトレーションテストと脆弱性診断は違います
その内容について、少しご説明させてください。

●脆弱性診断(別名、WEBアプリケーション診断)とは、様々なツールを利用して行います。ツールでスキャンした結果、出てきた脆弱性をクライアントに報告することが脆弱性診断と呼ばれています。(専門家の間でも、この作業をペネトレーションテストと誤用しているケースが大変多く見受けられます)

●ペネトレーションテストは、そのプロセスに脆弱性診断を含みます。言い方を変えますと、脆弱性診断は、ペネトレーションテストの一部分です。ペネトレーションテストは、ツールでスキャンした結果だけではなく、技術者が様々な手法で集めた情報を踏まえ、技術者が手動(経験、アイデア)で擬似的に侵入実験を行います。そして、ツールスキャンでは良く起きる誤検知のチェックも手動で行います。

日本市場にも、脆弱性診断・ペネトレーションテストなどの言葉で、セキュリティ診断サービスを提供している会社は増えていますが、技術者の手作業による脆弱性の悪用確認(exploit)を含んでいなければ、意味の高いセキュリティ診断とは言えません。(技術者の技術レベルはさておき、とさせていただきます)

脆弱性診断だけで終わる怖いところは、どんなに高価な脆弱性スキャナーを利用しても、言葉を変えれば自動化されたソフトウェアなだけですから、得手・不得手、誤検出・非検出もあり、本当に重要視すべき弱点を見つけきることはできません。脆弱性スキャナーは、効率的、且つ、機械的である反面、偽情報・誤検出(False Positive)、非検出(False Negative)もあるのです。

誤検出は、クライアントの担当者にとって大変厄介なものとなります。誤検出であっても、何らかの対処をしないと上司が納得してくれないからです。
非検出は、クライアント全体にとっての脅威になります。大変危険な脆弱性(例えば、個人情報や機密情報を全て盗まれる穴)に気づかず、放置することになるからです。

ペネトレーションテストと脆弱性診断の大きな違いは、技術者(検査する人間)の知恵と経験がリアルタイムで含まれているかいないかの違いとも言えます。どんなに推奨されている脆弱性ツールでも、プログラムされた論理以外では役立たずです。思考を持ちません。ペネトレーションテストは、まさに『人』です。

脆弱性診断で利用するスキャナーは、少し勉強すれ誰でも使えます。日本市場で良くあるセキュリティ診断は、このようなスキャナー履修者の手によって行われています。
が、ペネトレーションテストの場合には、スキャンの診断結果で出てきた脆弱性などを用い、複雑に組み合わせ、新しく作り、犯罪者はどのように悪用し、攻撃し、侵入してくるのか?そこまでを想定できる勘やセンスや経験がないと務まりません。

サイバー犯罪や攻撃にはウイルス、マルウェア、攻撃プログラムなどが使われます。しかし、その向こうには人間の意思(思惑)があることを忘れてはなりません。悪人善人は抜きにして、最終的には『人間 VS 人間』『脳(思考)VS 脳(思考)』の戦いが行われているのです。ツールだけでは、到底太刀打ちできません。

思惑VS意思

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。