ペネトレーションテスト
ぺねとれーしょんてすと
Penetration Test
一言でいうと
セキュリティの専門家が攻撃者目線でシステムに侵入を試みる、本気の脆弱性検査のこと。
詳しい意味
ペネトレーションテスト(ペネテスト、Penetration Test)は、許可を得たセキュリティ専門家が、攻撃者の視点で実際にシステムへの侵入を試みる本格的な脆弱性検査です。SQLインジェクション・XSS・CSRF・権限昇格・認証バイパスなど、自動スキャナでは見つからない設計上の脆弱性を発見するのが目的。「ホワイトボックス(内部情報込み)」「グレーボックス」「ブラックボックス(外部視点のみ)」の3形式があり、目的に応じて選びます。重要システムのリリース前・年次・大幅変更後に実施するのが一般的。発見された脆弱性は深刻度別に整理し、修正後に再検査するのが通例です。
何に使うか
本番リリース前の最終セキュリティ検査。重要システムの年次セキュリティ評価。コンプライアンス(PCI DSS など)対応のための定期検査。
どんな時に出るか
「ペネテストを発注」「ペネテストで脆弱性が見つかった」「ペネテスト結果のtriage」といった場面で登場します。
具体例
- 本番公開前に外部ベンダーに発注して、ペネテストで脆弱性を洗い出した。
- ペネテスト結果を深刻度別に triage し、Critical / High から修正した。
別名・略称
penetration test(ぺねとれーしょんてすと)pentest(ぺんてすと)ペネテスト(ぺねてすと)侵入テスト(しんにゅうてすと)
初心者向けメモ
プロの泥棒(雇った専門家)に「うちの店、本当に侵入できる?」と試させる作業です。施錠の見落としや防犯カメラの死角を、悪用される前に見つけて塞ぐ。検査と書きますが、実態は「友好的な攻撃」です。