ペネトレーションテストとは?脆弱性診断との違いや手法、おすすめツール
ペネトレーションテストとは?
ペネトレーションテストとは?
ペネトレーションテスト(Penetration Test)とは、攻撃者の視点に立ち、実際にシステムへ侵入できるかどうかを検証するセキュリティテストです。
脆弱性診断が「脆弱性の存在」を確認するのに対し、ペネトレーションテストでは 脆弱性を起点に、侵入・権限昇格・横展開が成立するか を検証します。
そのため、単体の脆弱性だけでなく、
- 複数の脆弱性や設定不備の組み合わせ
- 認証情報取得後の内部展開
- Active Directory(AD)を起点とした被害拡大
など、実際の攻撃シナリオに近い形での評価が行われます。
ペネトレーションテストの目的
ペネトレーションテストの目的は、単なる技術検証ではありません。
本当に侵入されるのか
侵入された場合、どこまで被害が広がるのか
現在の対策で「止められる」のか「止められない」のか
といった 実被害に直結するリスクを可視化することが最大の目的です。
特にランサムウェア被害の多くは、脆弱性の放置や対応漏れを起点に、内部ネットワークやADへ侵入・展開することで発生しています。
ペネトレーションテストの実施メリット
ペネトレーションテストを実施することで、以下のようなメリットがあります。
- 実際に攻撃が成立する経路を把握できる
- 重要度の高い脆弱性を明確にできる
- 内部侵入、横展開のリスクを可視化できる
- セキュリティ投資の優先順位を説明しやすくなる
一方で、
- 高コスト・スポット実施になりやすい
- 実施後も環境は変化し続ける
という課題がある点も理解しておく必要があります。
ペネトレーションテストと脆弱性診断の違い
脆弱性診断とは?
脆弱性診断とは、サーバー、ネットワーク機器、クラウド環境、Active Directory、Webアプリケーションなどを対象に、既知の脆弱性や設定不備を網羅的に洗い出す診断手法です。
ツールを活用することで、
- 定期的な実施 外部、内部の両面からの評価
- 継続的な脆弱性管理
が可能になります。
脆弱性診断との違い
| 観点 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 視点 | 防御側 | 攻撃者視点 |
| 主目的 | 脆弱性の把握 | 侵入可否の検証 |
| 実施頻度 | 定期・継続 | スポット |
| コスト | 比較的低め | 高め |
| 成果 | 脆弱性一覧 | 被害シナリオ |
ペネトレーションテストは、脆弱性診断で得られた情報をもとに実施されるべきものであり、 両者は対立するものではなく、補完関係にあります。
ペネトレーションテストのテスト内容とテスト対象
テスト対象
ペネトレーションテストの主な対象は以下です。
- インターネット公開サーバー(外部侵入)
- 社内ネットワーク(内部侵入)
- クラウド環境(IaaS / PaaS)
- Active Directory(AD)
- VPN・リモートアクセス環境
テスト内容・テストの種類
侵入テストする
外部・内部から侵入を試み、 サーバーやネットワークへの不正アクセスが成立するかを検証します。
認証・認可をテストする
ID/パスワード管理
権限設定
ADの構成
など、認証・認可まわりの弱点を確認します。
内部ネットワーク・横展開をテストする
侵入後に、
他サーバーへの横展開
管理者権限の取得
ADを起点とした被害拡大
が可能かを検証します。
運用・設定不備をテストする
パッチ未適用、不要サービス、設定ミスなど、運用上の不備が攻撃につながるかを確認します。
ペネトレーションテストの実施手法・方法
ペネトレーションテストツールを活用する
一部の工程(事前調査・脆弱性把握)はツールで効率化できますが、侵入の可否判断や攻撃シナリオの設計は人の判断が不可欠です。
ペネトレーションテストサービスを活用する
専門ベンダーによるペネトレーションテストは、
- 高度な攻撃シナリオ
- 内部侵入、AD攻撃の検証
- 分かりやすい報告書
といった点で有効ですが、スポット対応になりやすいという側面があります。
おすすめのペネトレーションテストツール「Tenable」
Tenableの概要と特徴
Tenableは、脆弱性管理やアタックサーフェスマネジメントを包括的に実現するためのセキュリティソリューションです。
その中でもTenable Oneでは、
外部・内部双方の脆弱性スキャン
内部にスキャナを配置した詳細な診断
Active Directoryを含むIT資産の可視化
などが可能です。
TenableOne自体がペネトレーションテストを実行するわけではありませんが、「侵入される原因となる脆弱性を継続的に管理・低減する」ことで、ペネトレーションテストで指摘されやすいリスクを事前に潰すことができます。
Tenableによるペネトレーションテストの実施手順
※ペネトレーションテストを「実施」するのではなく、 ペネトレーションテスト視点でのセキュリティ強化プロセスです。
外部・内部資産の可視化
インターネット公開資産だけでなく、 内部ネットワークやADを含めた資産を洗い出します。
内部スキャナによる脆弱性検出
内部にスキャナを配置することで、 外部からは見えない内部システムやADに対する脆弱性も把握できます。
攻撃に直結する脆弱性の優先度付け
「侵入につながるか」「横展開に使われるか」という観点で、 対応優先度を判断します。
ADリスクの把握と対策(Tenable Identity Exposure)
Tenable Identity Exposureを活用することで、
ADの設定不備
攻撃に悪用されやすい構成
を可視化し、内部侵入後の被害拡大リスクを低減できます。
Tenableのペネトレーションテストの報告書例
Tenableのレポートでは、
検出された脆弱性
リスクレベル
推奨される対策
が整理されており、ペネトレーションテスト前の準備や 実施後の是正対応に活用できます。
▼TenableOneとして活用することでMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) フレームワークを使い、組織の状況を可視化することができます。
▼現状の脆弱性を利用した攻撃経路のパスの表示や最も攻撃(侵入)に利用されやすい脆弱性も表示されます。
▼対策の必要な脆弱性を一覧化し優先順位を確認し対応を進めます。
▼個々の脆弱性について見やすく詳細に危険度や対策方法について確認可能です。
