ペネトレーションテスト 【penetration test】 侵入テスト / 擬似アタックテスト / ペンテスト
概要
ペネトレーションテスト(penetration test)とは、通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つで、既に知られている手法を用いて実際に侵入や攻撃を試みる方式。実際に運用している、あるいはその予定のシステムに対し、専門の技術者が様々な手法を駆使してサイバー攻撃を実施し、攻撃の可否や想定される被害や影響の範囲や程度を調べる。結果はレポートなどの形にまとめて報告される。
対象のシステムの種類や構成、運用形態などによっても異なるが、ソフトウェアの保安上の弱点(脆弱性)や設定の不備などを利用して、外部からのアクセスにより乗っ取りやサービス停止、非公開の情報の取得などができるかどうかを調べる。
大量の接続要求などで処理性能や通信容量を使い切り稼働停止を狙うDoS攻撃(サービス拒否攻撃)にどれくらい耐えられるかを調べたり、侵入された際にそこを踏み台にして他のコンピュータや外部のネットワークを攻撃できるかなどを調べる場合もある。
コンピュータセキュリティ関連企業には専門のエンジニアによるペネトレーションテストを実施するサービスを提供しているところもある。特定の種類の機器やソフトウェアを対象にある程度自動的にテストと診断を行うことができるツールが公開されており、これを利用して社内の担当部門が実施する場合もある。
攻撃手法や脆弱性は新たに発見されることがあり、システムの状態や構成、要素の追加や入れ替えなどによっても安全性は変化することがあるため、一度のテストで安全と診断されても定期的あるいは状況が変化した際などに受け直すのが望ましいとされる。
(2020.11.23更新)
関連用語
他の辞典による解説 (外部サイト)
- ウィキペディア 「ペネトレーションテスト」
- 総務省 国民のためのサイバーセキュリティサイト 用語集 「ペネトレーションテスト」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集 「ペネトレーションテスト」
- Insider's Computer Dictionary 「ペネトレーション・テスト」
- Trellix セキュリティ用語 「ペネトレーションテスト」
- デロイトトーマツ サイバーセキュリティ用語集 「ペネトレーションテスト」
- ESETマルウェア情報局 キーワード事典 「ペネトレーションテスト」
- 日立ソリューションズ・クリエイト ビジネスコラム 「ペネトレーションテスト」
- サイバーセキュリティ.com コラム 「ペネトレーションテスト」
- 東京海上日動 Tokyo Cyber Port 用語集 「ペネトレーションテスト」
共有ボタンをタップ