サイバーセキュリティ辞典 2026-04-07
ペネトレーションテスト(侵入テスト)
実際の攻撃者の手法を模倣してシステムへの侵入を試みるセキュリティテスト。脆弱性の深刻度を実証し、対策の優先度判断に活用する。
ペネトレーションテスト(侵入テスト)とは?
ペネトレーションテスト(Penetration Test、通称ペンテスト)は、セキュリティの専門家が実際の攻撃者の手法を使って、許可された範囲内でシステムへの侵入を試みるセキュリティ評価手法です。単なる脆弱性スキャンと異なり、発見した脆弱性を実際に悪用して「どこまで侵入できるか」を実証します。
脆弱性スキャンとの違い
| 項目 | 脆弱性スキャン | ペネトレーションテスト |
|---|---|---|
| 手法 | 自動ツールによる検出 | 手動+ツールの組み合わせ |
| 深さ | 浅い(検出のみ) | 深い(実際に侵入試行) |
| 費用 | 低 | 高 |
| 目的 | 既知の脆弱性の洗い出し | リスクの実証と優先度付け |
テストの主な種類
- ブラックボックス: 内部情報なしで実施(外部攻撃者の視点)
- グレーボックス: 一部の情報(ユーザー権限等)を事前に提供
- ホワイトボックス: ソースコード・設計書など全情報を提供
実施フロー
- スコープ定義: 対象システム・期間・許可範囲を合意
- 情報収集: OSINT・ポートスキャン等でターゲット調査
- 脆弱性発見: スキャン・手動テストで弱点を特定
- 侵入試行: 発見した脆弱性を実際に悪用
- 報告書作成: 発見事項・リスク評価・対策提案をまとめる
まとめ
ペンテストは年1回以上の定期実施が推奨されます。特に新システム公開前・大規模変更後・コンプライアンス要件がある場合は必須です。
おすすめの高速レンタルサーバー PR
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: Principle of Least Privilege とは
情報セキュリティの重要キーワード「Principle of Least Privilege」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Spoofing とは
情報セキュリティの重要キーワード「Spoofing」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Blue Team とは
情報セキュリティの重要キーワード「Blue Team」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: OWASP Top 10 とは
情報セキュリティの重要キーワード「OWASP Top 10」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ監査
組織のセキュリティ対策が規定・基準・コンプライアンス要件を満たしているかを体系的に評価するプロセス。内部監査と外部監査があり、ログ審査・設定確認・インタビューを組み合わせて実施する。
詳しく読む
セキュリティ用語: Advanced Persistent Threat (APT) とは
情報セキュリティの重要キーワード「Advanced Persistent Threat (APT)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む