サイバーセキュリティ辞典 2026-04-07
ペネトレーションテスト(侵入テスト)
実際の攻撃者の手法を模倣してシステムへの侵入を試みるセキュリティテスト。脆弱性の深刻度を実証し、対策の優先度判断に活用する。
ペネトレーションテスト(侵入テスト)とは?
ペネトレーションテスト(Penetration Test、通称ペンテスト)は、セキュリティの専門家が実際の攻撃者の手法を使って、許可された範囲内でシステムへの侵入を試みるセキュリティ評価手法です。単なる脆弱性スキャンと異なり、発見した脆弱性を実際に悪用して「どこまで侵入できるか」を実証します。
脆弱性スキャンとの違い
| 項目 | 脆弱性スキャン | ペネトレーションテスト |
|---|---|---|
| 手法 | 自動ツールによる検出 | 手動+ツールの組み合わせ |
| 深さ | 浅い(検出のみ) | 深い(実際に侵入試行) |
| 費用 | 低 | 高 |
| 目的 | 既知の脆弱性の洗い出し | リスクの実証と優先度付け |
テストの主な種類
- ブラックボックス: 内部情報なしで実施(外部攻撃者の視点)
- グレーボックス: 一部の情報(ユーザー権限等)を事前に提供
- ホワイトボックス: ソースコード・設計書など全情報を提供
実施フロー
- スコープ定義: 対象システム・期間・許可範囲を合意
- 情報収集: OSINT・ポートスキャン等でターゲット調査
- 脆弱性発見: スキャン・手動テストで弱点を特定
- 侵入試行: 発見した脆弱性を実際に悪用
- 報告書作成: 発見事項・リスク評価・対策提案をまとめる
まとめ
ペンテストは年1回以上の定期実施が推奨されます。特に新システム公開前・大規模変更後・コンプライアンス要件がある場合は必須です。
おすすめの高速レンタルサーバー PR
関連する用語 (サイバーセキュリティ辞典)
全109件を見るクリプトジャッキング(Cryptojacking)
攻撃者が被害者のコンピューターを無断で使用して暗号資産(仮想通貨)のマイニングを行う攻撃。ブラウザ経由またはマルウェアを通じて実行され、CPUを大量消費してパフォーマンスを低下させる。
詳しく読む
セキュリティ用語: TTPs とは
情報セキュリティの重要キーワード「TTPs」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Business Continuity Plan (BCP) とは
情報セキュリティの重要キーワード「Business Continuity Plan (BCP)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Forensics とは
情報セキュリティの重要キーワード「Forensics」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Disaster Recovery (DR) とは
情報セキュリティの重要キーワード「Disaster Recovery (DR)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Compliance とは
情報セキュリティの重要キーワード「Compliance」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む