防御と運用
ペネトレーションテスト
別称: ペンテスト, 倫理的ハッキング
定義
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
ペネトレーションテスト(ペンテスト)は、有資格のテスターが実際の攻撃者と同じツールや手法を用いて組織の防御の突破を試みる、目的指向のセキュリティ評価です。各案件にはスコープ・実施ルール・書面による承認が定められ、ネットワーク、Web・モバイルアプリ、クラウドワークロード、API、物理拠点、ソーシャルエンジニアリングによる従業員などを対象とします。自動スキャンとは異なり、ペンテストは複数の弱点を連鎖させて、データ流出やドメイン乗っ取りなどビジネスへの影響を実証することで悪用可能性を示します。結果は是正措置や既存統制の有効性検証、PCI DSS・HIPAA・ISO 27001 などのコンプライアンス対応に活用されます。
例
- 公開された VPN 機器を起点に初期侵入し、ドメイン管理者権限まで到達する外部ネットワークペンテスト。
- IDOR と保存型 XSS を組み合わせて管理者アカウントを乗っ取る Web アプリケーションペンテスト。
関連用語
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
Red Team
Red Team — definition coming soon.
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。
アタックサーフェスマネジメント(ASM)
組織をサイバー攻撃にさらすあらゆる資産を継続的に発見・棚卸し・分類・監視する取り組み。
Purple Team
Purple Team — definition coming soon.
Security Posture
Security Posture — definition coming soon.