Entry № 912
ペネトレーションテスト
ペネトレーションテスト とは何ですか?
ペネトレーションテストシステム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
ペネトレーションテスト(ペンテスト)は、有資格のテスターが実際の攻撃者と同じツールや手法を用いて組織の防御の突破を試みる、目的指向のセキュリティ評価です。各案件にはスコープ・実施ルール・書面による承認が定められ、ネットワーク、Web・モバイルアプリ、クラウドワークロード、API、物理拠点、ソーシャルエンジニアリングによる従業員などを対象とします。自動スキャンとは異なり、ペンテストは複数の弱点を連鎖させて、データ流出やドメイン乗っ取りなどビジネスへの影響を実証することで悪用可能性を示します。結果は是正措置や既存統制の有効性検証、PCI DSS・HIPAA・ISO 27001 などのコンプライアンス対応に活用されます。
● 例
- 01
公開された VPN 機器を起点に初期侵入し、ドメイン管理者権限まで到達する外部ネットワークペンテスト。
- 02
IDOR と保存型 XSS を組み合わせて管理者アカウントを乗っ取る Web アプリケーションペンテスト。
● よくある質問
ペネトレーションテスト とは何ですか?
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ペネトレーションテスト とはどういう意味ですか?
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
ペネトレーションテスト からどのように防御しますか?
ペネトレーションテスト に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ペネトレーションテスト の別名は何ですか?
一般的な別名: ペンテスト, 倫理的ハッキング。