ペネトレーション(PEN)試験
ペネトレーションテストとは、実際の攻撃者の視点でシステムへの侵入を試み、攻撃が成功した場合に業務や資産にどのような影響(実害)が出るかを可視化するテストです。単にセキュリティ上の欠陥を見つけるだけでなく、「実際に侵入されたらどうなるか」というビジネスへの影響を検証することに主眼が置かれています。本テストは、脆弱性の有無を網羅的に調べる一般的な「脆弱性診断」とは一線を画し、実際に攻撃が成功した場合の「ビジネスへの影響範囲と深刻度」を特定することを主目的としています。
導入のメリット
1. 実害の可視化とセキュリティ投資の最適化
• ビジネス被害の具体化:侵入された場合、「機密情報が窃取されるか」「管理者権限が奪取されるか」など、システムやビジネスに対する具体的な被害レベルを明らかにします。
• リスクベースの優先順位付け:攻撃が成立しうる致命的な脆弱性を特定することで、限られた予算とリソースの中で「何を最優先で修正すべきか」を明確にします。
• 実効性のある対策:テスト結果に基づき、単なる指摘に留まらず、再発防止や今後のセキュリティ投資判断に直結する具体的な修正方針を提示します。
2. 製品の安全性担保とサプライチェーンリスクの排除
• 高リスク箇所の特定: オープンソース(OSS)や詳細不明なサードパーティ製コンポーネントを組み込む際、表面的な確認では見抜けない未知の脆弱性や攻撃経路を特定し、製品リスクを排除します。
• 法的義務(デュー・ディリジェンス)の履行証明:外部コンポーネント採用時に製造業者が負うべき相当の注意を尽くしたことを示す、客観的かつ強力な証拠となります。
3. 法規制への対応と適合性エビデンス
• ガイドライン・国際基準への準拠: 経済産業省/IPAのガイドラインや、PCI DSS v4.0等の国際的なセキュリティ基準への準拠を支援します。
• 必須要件の適合証明(CRA等): CRAなどの適合性評価において、製品がセキュリティ必須要件を満たしていることを裏付ける技術的なエビデンスとして活用できます。
適応例
外部ペネトレーションテスト(インターネット経由の脅威)
• 対象: 公開ウェブサイト、Webアプリケーション、クラウドサービス、外部公開されているネットワーク機器など。
• 想定シナリオ:外部の攻撃者がインターネット経由で侵入を試みるケース(公開VPNや設定不備の悪用など)を検証します。
内部ペネトレーションテスト(内部ネットワークの脅威)
• 対象: 社内ネットワーク、内部サーバー、社内アプリケーション、ファイルサーバー、Active Directoryなど。
• 想定シナリオ:マルウェア感染や内部不正により、社内ネットワークに侵入された状態(侵害済みアカウントの悪用など)から、重要データへアクセスできるかを検証します。
お問い合わせ
SGSジャパン株式会社
C&P Connectivity ワイヤレス
TEL:050-1780-7880