ペネトレーションテストは、実際にどこまで侵害できるかを、許可された範囲で検証する仕事です。
脆弱性診断より一歩踏み込んで、侵害シナリオや影響範囲まで確認することがあります。
まず押さえたいポイント
- 診断より一歩踏み込んだ検証
- 何でも自由にやるのではなく、範囲と手順がかなり大事
- 目的は侵入成功そのものではなく、実害の見え方を把握すること
どんな場面で使うか
- 重要システムの実戦的な確認
- 大規模リリース前の評価
- 攻撃シナリオを前提にした演習
どんなふうに理解するとよいか
ペネトレーションテストは、本当にこの守りで足りるのかを、現実の攻撃に近い形で確かめる仕事 と考えると分かりやすいです。
押さえておきたい注意点
範囲を曖昧にすると事故になります。
対象、時間、連絡先、停止条件、証跡の扱いまで決めてから実施するのが基本です。
実務で見るポイント
- 目的と成功条件を先に決める
- 業務停止リスクを抑えながら行う
- 発見事項を改善へつなげる