企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか：4種類のツールを使う

WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。

[＠IT]

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年7月1日（米国時間）、ペネトレーションテストに関する解説記事を公式ブログで公開した。テストの目的と重要性の他、テストの目的と重要性の他、ペネトレーションテストと脆弱性（ぜいじゃく）評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。

　Ponemon InstituteとWhiteSourceによる調査によると、外部からの攻撃やデータの盗難、権限の乱用を防ぐために、企業はアプリケーションセキュリティをますます優先するようになってきている。調査対象となった回答者のうち、53％が外部のペネトレーションテストを利用してアプリケーションを保護しており、46％が内部のペネトレーション手法を利用している（関連記事）。

ペネトレーションテストとは

　ペネトレーションテスト（「ペンテスト」や「倫理的ハッキング」と呼ばれることもある）は、攻撃者が悪用する可能性があるコンピュータシステムの脆弱性を発見する目的で、関係者が実行する疑似攻撃。ITインフラに対してセキュリティの状態を分析するための一般的な手法だ。

　テスターは基本的に攻撃者の目線でアプリケーションを調査し、攻撃者より早くセキュリティの穴を見つけようとする。テストの最終段階では通常、見つかった脆弱性や悪用方法、修正策の提案をまとめたレポートを作成する。テスト結果は、アプリケーションのセキュリティ対策を改善し、見つかった問題に対処するのに役立つ。

　攻撃者が悪用する可能性がある脆弱性は、次のようなさまざまな問題に起因する。

• ソフトウェアの未知または既知の欠陥
• アプリケーションの不適切な構成
• 脆弱なソフトウェア設計フレームワーク
• 脆弱な脅威特定メカニズム
• セキュリティポリシーエラー
• チームのセキュリティ意識の欠如

　ペネトレーションテストを実行する前に、まずテスト対象のシステムを保有する企業とテスター双方の同意が必要だ。さもないと、悪意ある違法行為ということになる。企業の経営陣の承認に基づいてテストを実施しなかった場合、テストによって企業の弱点が不正に暴露され、企業が打撃を受ける恐れがある。

　企業は通常、外部契約者にペネトレーションテストを委託する。サードパーティーのセキュリティ専門家は、システムの仕組みについて内部者が持つような知識がないため、より自由な発想で、より徹底的なテストができるからだ。

　一部の企業は、セキュリティ専門家が自社のシステムをハッキングして脆弱性を発見した場合に、報奨金や賞金を支払うバグバウンティプログラム（バグ報奨金制度）を実施している。

ペネトレーションテストはなぜ重要なのか