実務では「ペネトレーションテストを実施すれば脆弱性診断は不要ではないか」と疑問に思われることも少なくありません。しかし、ペネトレーションテストの中で行われる脆弱性確認と、脆弱性診断として実施する調査では、調査の目的や網羅性が大きく異なります。
この記事では、脆弱性診断とペネトレーションテストの違いを整理したうえで、ペネトレーションテストの種類(脆弱性ベース / シナリオベース)と実務での使い分けについて解説します。
目次
脆弱性診断とペネトレーションテストは何が違うのか?
脆弱性診断とペネトレーションテストは、どちらもシステムの安全性を確認するセキュリティテストですが、確認している内容は大きく異なります。
脆弱性診断は、システムに存在する脆弱性を網羅的に検出するための調査です。アプリケーション、サーバ、ネットワークなどを対象に、SQLインジェクションや認証不備、設定ミス、既知の脆弱性、セキュリティヘッダ不足といった問題が存在しないかを確認し、システムにどのような弱点があるのかを整理します。目的は、脆弱性が存在するかを網羅的に把握することです。
一方、ペネトレーションテストは攻撃者の視点で侵入可能かを検証するテストです。単体の脆弱性による攻撃可否だけでなく、複数の弱点を組み合わせながら侵入が可能かを検証します。例えば、権限昇格の試行や内部ネットワークへの侵入など、攻撃者が実際に取り得る行動を再現しながら侵入の成立可否を確認します。
このように両者は、脆弱性を特定する調査なのか、侵入可能性を検証するテストであるかという点で役割が異なります。
- 脆弱性診断 = 脆弱性の特定
- ペネトレーションテスト = 侵入可能性の検証
という関係になります。
ペネトレーションテストの種類とは?(脆弱性ベース/シナリオベース)
ペネトレーションテストには、大きく分けて「脆弱性ベース」と「シナリオベース」の2つのアプローチがあります。
どちらも侵入可能性を検証するテストですが、検証の進め方が異なります。
脆弱性ベース
脆弱性ベースのテストでは、発見した脆弱性を起点として侵入可能かを検証します。具体的には次のような攻撃を試みます。
- SQLインジェクションを利用したデータベース侵入
- 認証不備を利用した管理画面へのアクセス
シナリオベース
シナリオベースのテストでは、攻撃者の行動を想定したシナリオを作り、そのシナリオに沿って侵入を試みます。最終的な目標を設定したうえでテストを進めるため、より実践的な攻撃再現になります。
例えば次のようなシナリオが設定されます。
- 公開Webから社内ネットワークへの侵入
- メール攻撃から社内ネットワークへの侵入
- 一般ユーザーから管理者権限取得
- 内部ネットワークからの情報窃取
このように、ペネトレーションテストには「脆弱性を起点に検証する方法」と「攻撃シナリオに沿って侵入を試みる方法」の2つがあります。
なぜ脆弱性診断とペネトレーションテストは分けて考える必要があるの?
脆弱性診断とペネトレーションテストは、調査の観点が異なるため、実務では分けて実施します。
セキュリティ評価では、「脆弱性が存在するか」と「その脆弱性を利用して侵入できるか」は別の問題です。
ここで重要なのは、脆弱性の有無と侵入可能性は一致しないという点です。
例えば、脆弱性が存在しても侵入には利用できないケースがあります。逆に、単体では問題にならない弱点でも、複数の要素を組み合わせることで侵入が可能となることもあります。
そのため実務では、まず脆弱性診断でシステムに存在する問題を整理し、そのうえで必要に応じてペネトレーションテストで侵入可能性を検証します。
つまり両者は代替関係ではなく、確認している観点が異なる評価手法ということです。
ペネトレーションテストだけで十分?脆弱性診断は不要なのか
ペネトレーションテストでは、侵入経路を検証する過程で脆弱性の確認やスキャンが行われることがあります。そのため、「ペネトレーションテストを実施すれば脆弱性診断は不要ではないか」と考える人も少なくありません。
しかし、ペネトレーションテストで行われる脆弱性確認は侵入検証を目的とした調査です。調査の目的が異なるため、調査範囲や確認の深さ、網羅性は脆弱性診断とは大きく異なります。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | システムに存在する脆弱性を網羅的に特定 | 攻撃者の視点で侵入可能かを検証 |
| 調査範囲 | システム全体を対象に調査 | 攻撃シナリオに関連する範囲を中心に検証 |
| 深さ | 脆弱性を網羅的に確認 | 侵入経路の成立に必要な範囲を確認 |
| 結果 | 脆弱性の一覧と対策ポイント | 侵入の可否や侵入経路 |
ペネトレーションテストでは侵入経路の成立を検証することが目的のため、調査は攻撃シナリオに関連する範囲に限定されることが一般的です。一方、脆弱性診断はシステム全体を対象に、存在する脆弱性を網羅的に洗い出します。
したがって、ペネトレーションテストの脆弱性確認は脆弱性診断の代替にはなりません。
実務での使い分け|脆弱性診断とペネトレーションテストの選び方
実務では、まず脆弱性診断を実施してシステムに存在する問題を整理します。ここでは設定ミスや実装不備、既知の脆弱性などを網羅的に確認し、システムにどのような弱点があるのかを把握します。
そのうえで、実際に侵入できるのか、どのような経路で攻撃が成立するのかを検証したい場合にペネトレーションテストを実施します。特に、重要システムの侵入可能性を確認したい場合や、攻撃経路の成立を検証したい場合に有効です。
つまり、脆弱性診断で脆弱性の有無を整理し、ペネトレーションテストで侵入可能性を検証するという役割分担で使い分けます。
整理すると、両者の位置付けは次のようになります。
- 脆弱性診断:システムに存在する脆弱性を把握するための基礎評価
- ペネトレーションテスト:攻撃シナリオの成立を確認するための侵入検証
このように、脆弱性診断とペネトレーションテストは目的に応じて段階的に組み合わせて実施することで、より実効性の高いセキュリティ評価が可能になります。
脆弱性診断・ペネトレーションテストの選定でお悩みの方へ
脆弱性診断とペネトレーションテストは「どちらをやるか」ではなく、何を確認したいかで選ぶものです。脆弱性を網羅的に把握したいのか、侵入シナリオを検証したいのかによって選定は変わります。
実際の現場では「診断だけで十分なのか」「ペネトレーションテストを実施すべきか」で迷うケースが多く、システムの公開範囲や重要度、確認したい観点を整理することが判断の出発点になります。
当社では、その整理から始めて、脆弱性診断の範囲設計やペネトレーションテストのシナリオ設計まで実務に合わせて支援しています。もし自社にどの評価が必要か判断に迷っている場合は、お気軽にご相談ください。
