●トピック
●深く知る
ペネトレーションテストは、倫理的ハッキングと呼ばれることもあります。脆弱性が悪用可能かどうかをテストします。セキュリティの弱点を探し、システム、建物、およびデータへのアクセスを取得する可能性のある、組織に対する許可されたシミュレートされた攻撃になります。ペネトレーションテストは、明確に定義された時間枠で行われ、多くの場合、営業時間外のメンテナンス時間枠で行われます。重要なのは、ビジネスを中断させるのではなく、脆弱であることを証明することです。当然、実施する前には、IP範囲、時間枠、ツール、POC、テスト方法、テスト対象を作業範囲記述書で定義し、ペンテスター(ペネトレーションテストを行う人)を採用する前に、法務チームに確認します。攻撃であることには変わりはないため、その範囲を明記しておかなければなりません。
ペネトレーションテストするにはいくつかのテクニックがあります。システムに対して模擬攻撃を行う際に、システムの開発者ナレッジを与えるのかどうかで異なる攻撃対象を想定する事ができます。例えば、模擬攻撃者にナレッジを与えなければ、一般的にブラックボックステストと呼ばれ、システム公開時の第3者攻撃を想定することができます。反対に、模擬攻撃者にシステム知識を与えれば、一般的にホワイトボックステストと呼ばれ、よりシステムを理解したうえで公開情報のみでは気づけない攻撃手法を試すことができるでしょう。こういった説明を行うと、ホワイトボックステストの方が上位であると考えられますが、信頼しうるシステム情報を知っていなければ、実世界での攻撃者での行動をより再現するでしょう。