用語比較
ペネトレーションテストと脆弱性診断の違い
脆弱性診断は脆弱性を網羅的に列挙する活動、ペネトレーションテストは攻撃者視点で実際に侵入可能かを検証する活動。
- 難易度
- 中級
- 想定読者
- 情シス・発注担当・経営層
- 所要時間
- 約8分
脆弱性診断とは
スキャナーや手動確認で既知脆弱性・設定不備を網羅的に列挙する活動。
ペネトレーションテストとは
攻撃者視点で目的(情報窃取・権限昇格等)を設定し、組合せて実際に侵入可能か検証する活動。
違いの比較表
| 比較軸 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | 弱点の網羅的な列挙 | 実際の侵入可否の検証 |
| 手法 | スキャナー主体 + 手動 | 手動 + シナリオ + 組合せ攻撃 |
| 頻度 | 四半期〜年次 | 年次〜大規模変更後 |
| 報告 | 脆弱性一覧と深刻度 | 侵入経路・影響範囲・推奨改善 |
使い分け
- まずは定期診断で既知脆弱性を抑える
- 重要システムや大規模変更時にペンテストを実施する
- 発注前に対象範囲・除外項目・許可範囲を必ず文書化する
よくある誤解
- ペンテストをやれば診断は不要、とは限らない
- 診断結果に深刻度の高い項目がなければ安全、というのは誤り
- ペンテスト = 攻撃そのもの、というのは誤解(合意・許可された検証)
よくある質問
脆弱性診断とペネトレーションテストの違いは?
脆弱性診断は脆弱性を網羅的に列挙する活動、ペネトレーションテストは攻撃者視点で実際に侵入可能かを検証する活動。
脆弱性診断とは?
スキャナーや手動確認で既知脆弱性・設定不備を網羅的に列挙する活動。
ペネトレーションテストとは?
攻撃者視点で目的(情報窃取・権限昇格等)を設定し、組合せて実際に侵入可能か検証する活動。
脆弱性診断とペネトレーションテストはどう使い分ける?
まずは定期診断で既知脆弱性を抑える 重要システムや大規模変更時にペンテストを実施する 発注前に対象範囲・除外項目・許可範囲を必ず文書化する
脆弱性診断とペネトレーションテストでよくある誤解は?
ペンテストをやれば診断は不要、とは限らない 診断結果に深刻度の高い項目がなければ安全、というのは誤り ペンテスト = 攻撃そのもの、というのは誤解(合意・許可された検証)