ペネトレーションテスト（侵入テスト）とは？

詳細解説

ペネトレーションテスト（Penetration Testing、略称:ペンテスト）とは、認定されたセキュリティ専門家（ホワイトハッカー）が、実際の攻撃者と同じ手法・ツールを使ってシステム・ネットワーク・アプリケーションへの侵入を試みることで、脆弱性を発見・評価するセキュリティテスト手法です。脆弱性スキャン（自動ツールによる既知脆弱性の検出）と異なり、ペネトレーションテストは人間の創意工夫を用いて実際に侵入できるかを検証します。実施手法によって「ブラックボックステスト（内部情報なし）」「ホワイトボックステスト（ソースコード等の完全情報あり）」「グレーボックステスト（一部情報あり）」に分けられます。テスト後は発見した脆弱性・侵入経路・リスク評価・改善勧告をまとめたレポートを提出します。IT試験では「ペネトレーションテストの目的（実環境での脆弱性検証）」「脆弱性スキャンとの違い」「ブラック・ホワイト・グレーボックスの違い」「倫理的ハッキング（Ethical Hacking）との関係」が頻出です。

ITパスポートでの出題ポイント

• 1実際の攻撃者と同じ手法でシステム侵入を試みる能動的テスト
• 2自動スキャンツールとの違い（人間の創意工夫で侵入成否を判断）
• 3ブラックボックス・ホワイトボックス・グレーボックスの3手法
• 4発見した脆弱性・侵入経路・改善勧告レポートの提出まで含む

関連用語