ペネトレーションテストとは
ペネトレーションテスト(侵入テスト)とは、ネットワークに接続されているシステムに対して侵入を試みるテストです。
侵入できればあらゆる操作が可能になり、サービス自体を停止に追いやることができます。そのため、侵入にフォーカスをした試験を行うのです。下記のような順番で行われます。
- 計画:IP範囲、時間枠、ツール、POC、テスト方法、テスト対象を作業範囲記述書で定義します。また、ペンテスター(ペネトレーションテストを行う人)を採用する前に、法務チームに確認します。
- 情報収集と発見:攻撃対象の情報を収集し、脆弱性を発見します。
- 攻撃:実際にネットワークにアクセスします。そしてより高いレベルの権限を取得し、最終的には管理者アクセスが必要になります。または、内部に攻撃ツールをインストールするなどして新しい攻撃対象領域に展開します。
- レポート:完了したら、調査結果を報告します。ペンテスターは、脆弱性を修正するのではなく、テストしてレポートとして文書化します。
計画段階で攻撃対象となる組織に許可を得ておく必要があります。侵入するのはシステムをきわめて詳細に理解する必要があるため、その情報自体が外部に漏れ出ないようにしなければいけません。また、侵入に成功した場合には、危険な状態であることがわかります。レポート作成まで待たずに一報するなど取り決めが必要です。
