ペネトレーションテスト

ペネトレーションテスト（略してペンテスト）は、合意済みの範囲内で、実際の攻撃者と同様の手法を用いてシステムに侵入を試みるセキュリティ診断手法です。自動ツールの脆弱性スキャンが『既知パターンの照合』に留まるのに対し、ペンテストは『発見された弱点を連鎖させて、どこまで侵入可能か』を人間の知恵と創造性で実証する点が決定的に異なります。結果として、机上では見えなかったリアルなリスクを経営層に示せるのが最大の価値です。

手法には、①『ブラックボックス』（事前情報ゼロで外部から）、②『グレーボックス』（一部情報・一般ユーザー権限を付与して）、③『ホワイトボックス』（設計情報・ソースコードを開示して深く）があり、予算・目的に応じて選びます。対象も、Webアプリ・ネットワーク・無線LAN・モバイルアプリ・クラウド環境・社内インフラ・物理侵入・ソーシャルエンジニアリングなど多岐に渡ります。

フェーズは概ね、①スコープ定義と合意書（攻撃許可範囲・緊急連絡先）、②情報収集（偵察）、③脆弱性特定、④悪用（Exploit）、⑤権限昇格・横展開、⑥目的達成（重要資産へのアクセス等）、⑦レポーティング、の7段階で進みます。レポートには『発見事項の再現手順』『影響度評価』『推奨対応』『経営層向けサマリ』を含めるのが一般的で、ただの脆弱性リストではなく改善ロードマップ提案まで踏み込むのが良質なレポートです。

実施機関には、①大手セキュリティベンダー（NRI-SEC・LAC・マクニカ等）、②海外ブランド（Mandiant・NCC Group等）、③専門ブティック、④バグバウンティプラットフォーム（HackerOne・Bugcrowd等）による継続型があります。年1回単発より、四半期ごとの限定スコープ＋年1回フル＋バグバウンティの組み合わせが、コストと品質のバランスで最も実効的という見方が主流です。重要なのは、ペンテスト後に必ず修正・再検査までやり切ることで、ここを怠ると『脆弱性一覧だけが残るドキュメント』になってしまいます。