用語集 › 🔒 セキュリティ › ペネトレーションテスト
【ぺねとれーしょんてすと】

ペネトレーションテスト とは?

💡 「本物の攻撃で試す」プロによる公認の侵入シミュレーション
📌 このページのポイント
ペネトレーションテストの実施フロー ① 計画 範囲・目標 の定義 ② 情報収集 ポートスキャン OS検出 ③ 脆弱性分析 脆弱性の 特定・評価 ④ 攻撃実行 疑似攻撃で 侵入を試行 ⑤ 報告 結果と 対策提言 テスト対象システム Webサーバー DB API 認証機能 ネットワーク 権限管理 テスター (攻撃者)
ペネトレーションテストのフローのイメージ
ひよこ ひよこ

ペネトレーションテストって実際にハッキングするの?

ペンギン先生 ペンギン先生

そうだよ!でも「許可を得た上で」というのが大前提。事前に「ここまでの範囲を攻撃していいです」という契約と許可を得てから、本物の攻撃者と同じ手法を使って侵入を試みるんだ。

ひよこ ひよこ

脆弱性スキャンと何が違うの?

ペンギン先生 ペンギン先生

脆弱性スキャンはツールが自動で「この脆弱性がある可能性がある」と列挙するもの。ペネトレーションテストは人間が実際に脆弱性を組み合わせて利用し「本当に侵入できるか」を試みるんだ。スキャンは「弱点リスト」で、ペネトレーションテストは「実際の被害リスク評価」に近いよ。

ひよこ ひよこ

ブラックボックス・ホワイトボックス・グレーボックスって何?

ペンギン先生 ペンギン先生

攻撃者にどれだけ情報を与えるかの違いだよ。ブラックボックスは「公開情報のみ」で外部の攻撃者視点、ホワイトボックスは「ソースコードや設計図まで全部渡す」で最も深い検査ができる、グレーボックスはその中間で「一般ユーザーと同じ権限」などを与えた状態で始めるんだ。

ひよこ ひよこ

事故が起きたらどうなるの?本当にシステムが壊れたりしない?

ペンギン先生 ペンギン先生

だから事前の契約・スコープ定義・バックアップが必須なんだよ。本番環境への予期せぬ影響を防ぐため、テスト環境や時間帯を慎重に選ぶことが多い。万が一の場合の免責事項も契約に盛り込まれる。「許可書(Get Out of Jail Free Card)」を持った上でやる合法的な侵入行為だよ。

ひよこ ひよこ

「レッドチーム演習」ってペネトレーションテストと違うの?

ペンギン先生 ペンギン先生

似てるけど深さと範囲が違うよ。ペネトレーションテストは特定のシステムの技術的な脆弱性を探すことが中心だけど、レッドチーム演習は「本物の攻撃者グループを模倣して組織全体を攻撃する」もので、技術的攻撃だけでなくソーシャルエンジニアリング・物理的侵入まで含むことがある。防御側(ブルーチーム)と攻撃側(レッドチーム)の対抗演習として行われ、組織全体のセキュリティ対応力を評価するのが目的なんだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
ペネトレーションテストって出てきたら「許可を得てシステムを実際に攻撃して脆弱性を見つける検査」と思えばだいたいOK!
📖 おまけ:英語の意味
「Penetration Test」 = 侵入テスト
💬 「Penetrate(侵入する・貫通する)」するテスト。「ペンテスト」と略されることが多く、実施者を「ペネトレーションテスター(ペンテスター)」と呼ぶよ
🔗 あわせて読みたい
← 用語集にもどる