ペネトレーションテスト
定義
ペネトレーションテスト(ペンテスト)とは組織のオーナーから書面で明示的な許可を得た上で、実際の攻撃者の視点・手法でシステムへの侵入を試みて悪用可能な脆弱性を発見するセキュリティ評価です。事前情報なしのブラックボックス・一部情報を共有したグレーボックス・設計・コード・認証情報すべて開示したホワイトボックスの3種類があります。評価フェーズは「偵察→スキャン→エクスプロイト→権限昇格→ラテラルムーブメント→報告書作成」の流れで、連鎖的な攻撃・ビジネスロジックの欠陥・人的要因まで評価できる点で自動脆弱性スキャナーとは一線を画します。報告書には発見した脆弱性・実証(PoC)・リスク評価・修正推奨が含まれ、修正確認のための再テスト(Retest)もセットで実施します。OSCP・CEH・PNPTなどの認定資格を持つ専門家が実施し、許可なく第三者のシステムに対して行うことは不正アクセス禁止法違反です。
関連用語
ペネトレーションテストが登場する記事・比較
よくある質問
ペネトレーションテストとは?
許可を得た上で実際の攻撃者の視点でシステムへの侵入を試み、脆弱性を特定するセキュリティ評価手法。ブラックボックス・グレーボックス・ホワイトボックスの3種類がある。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ