ホーム > ブログ記事 > ペネトレーションテスト 方法で、理想的なのはGoogle
 

ペネトレーションテスト 方法で、理想的なのはGoogle

2016-03-27 7:33 AM

ペネトレーションテストの方法で、最も理想的なのは、GoogleやMicrosoftなどが導入している、世界中の専門家・研究者にシステムの脆弱性を発見させ、発見した脆弱性の重要度に応じて、報酬を支払う方法だと思います。この方法が、結果的に最も強い(=侵入されずらい)体制を築けるからです。

あの手この手で襲いかかってきます

 

 

ペネトレーションテストは、方法以前に、そもそも誤解されていることが多くあります。その例としましては、

 

●ツールでたくさんの項目の脆弱性を調べれば良い ⇒ ×

⇒ 参照、; ペネトレーションテストと脆弱性診断の違い

 

●有名なペンテストツールを使えば良いペネトレーションテストが行える ⇒ ×

 

●ペネトレーションテストは誰が行っても結果は同じ ⇒ ×

 

●ペネトレーションテストは、システムが危険にさらされる  ⇒ ×

 

●WEBアプリケーションのペネトレーションテストを行えばだいたい安全  ⇒ ×

 

●有名なセキュリティソフトを導入していればペネトレーションテストは必要ない  ⇒ ×

 

などが、多い誤解として挙げられます。

 

本来あるべきペネトレーションテストの方法は、隅々まで全てチェックを行うことです。それはイコール、あらゆる犯罪者のタイプを想定して、侵入を試みることです。

 

逆の考え方をしますと、

 

もし、犯罪(ハッキング)の方法が決まっているとすれば、ペネトレーションテストの方法が決まっていても問題は起きません。が、ハッキングの方法は決まっていません。ハッカー達は、あの手この手、あらゆる手段を使い、新しく作り、侵入や泥棒を試みます。ですから、各企業を泥棒目線で総合的に侵入チェックしなければならないのです。

 

方法を一律で定めていないのが、サイバー犯罪であると言えます。弱点を徹底的に狙ってくるのがサイバー犯罪であると言えます。ですから随時、定期的にあらゆる方法で侵入テストをしておくのが、効果の高い情報セキュリティと言えるでしょう。

 

 

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。