PTES
PTES とは何ですか?
PTESコミュニティが策定したペネトレーションテスト方法論で、プリエンゲージメントから報告・是正提案までを 7 つのフェーズに整理します。
Penetration Testing Execution Standard(PTES)はコミュニティが維持するフレームワークで、プロのペネトレーションテストの計画、実行、報告の進め方を定義しています。作業は 7 つのフェーズ、すなわちプリエンゲージメント、インテリジェンス収集、脅威モデリング、脆弱性分析、エクスプロイト、ポストエクスプロイト、レポーティングに整理されます。各フェーズの推奨ツールや戦術をまとめた Technical Guidelines が付属します。コンサルティング企業や社内レッドチームに広く採用され、多様な環境でスコープ、ルールオブエンゲージメント、成果物を標準化でき、OSSTMM、NIST SP 800-115、OWASP のテストガイドとも整合します。
● 例
- 01
コンサルティング会社が各ペンテストの委任状を PTES のプリエンゲージメント要件に対応付ける。
- 02
レッドチームが PTES のポストエクスプロイト指針を用いて取締役会向けに影響を評価する。
● よくある質問
PTES とは何ですか?
コミュニティが策定したペネトレーションテスト方法論で、プリエンゲージメントから報告・是正提案までを 7 つのフェーズに整理します。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
PTES とはどういう意味ですか?
コミュニティが策定したペネトレーションテスト方法論で、プリエンゲージメントから報告・是正提案までを 7 つのフェーズに整理します。
PTES はどのように機能しますか?
Penetration Testing Execution Standard(PTES)はコミュニティが維持するフレームワークで、プロのペネトレーションテストの計画、実行、報告の進め方を定義しています。作業は 7 つのフェーズ、すなわちプリエンゲージメント、インテリジェンス収集、脅威モデリング、脆弱性分析、エクスプロイト、ポストエクスプロイト、レポーティングに整理されます。各フェーズの推奨ツールや戦術をまとめた Technical Guidelines が付属します。コンサルティング企業や社内レッドチームに広く採用され、多様な環境でスコープ、ルールオブエンゲージメント、成果物を標準化でき、OSSTMM、NIST SP 800-115、OWASP のテストガイドとも整合します。
PTES からどのように防御しますか?
PTES に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PTES の別名は何ですか?
一般的な別名: ペネトレーションテスト実行標準。
● 関連用語
- compliance№ 770
OSSTMM
ISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
- compliance№ 768
OSCP
Offensive Security が認定する実技型の攻撃的セキュリティ資格で、24 時間の監督付き実技試験でラボネットワークを侵害して取得します。
- compliance№ 152
CEH
EC-Council が認定する倫理的ハッキング資格で、偵察、エクスプロイト、Web、無線、クラウドにわたる攻撃者の手法とツールを学びます。
- defense-ops№ 813
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- compliance№ 735
NIST SP 800-30
情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。