ペネトレーション‐テスト【penetration test】
読み方:ぺねとれーしょんてすと
侵入テスト
別名:ペネトレーションテスト
【英】penetration test
侵入テストとは、システムを自分で攻撃することによって、コンピュータやネットワークの脆弱性を探すセキュリティチェック法のことである。
侵入テストでは、セキュリティ強化を目指す管理者側が敢えてセキュリティホールの探査を攻撃を試みる。事前にあらゆる方法の攻撃を仕掛けてみることによって、セキュリティ上の問題を早期に発見し、対策を講じることができる。
こうしたテストは、実際に攻撃される場合と同じ手法で行われなくては意味をなさないため、テストはセキュリティ関係の専門の業者に委ねる場合が多い。そして多くの場合には、新たに発見される脆弱性などに対処するため、定期的にテストを行っている。官公庁のような重要機関の運営するWebサイトなどにおいては、不正侵入の可能性や、DoS攻撃、DDoS攻撃への耐性も調査されている。
| セキュリティ対策: | セキュリティチップ セキュリティソフト セキュリティ更新プログラム 侵入テスト ソースポートランダマイゼーション スマートフォン・クラウドセキュリティ研究会 スマートフォン情報セキュリティ3か条 |
ペネトレーションテスト
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/09/12 06:27 UTC 版)
| 情報セキュリティと サイバーセキュリティ |
|---|
| 対象別カテゴリ |
|
| 隣接領域 |
| 脅威 |
| 防御 |
|
ペネトレーションテスト
- ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法のこと。侵入実験または侵入テストとも言われる。[1]
- 日本国外において、防弾ベスト製造会社、銃器メーカーや警察特殊部隊、軍隊などで用いられる用語。防弾ベストに対して弾丸を発射し、弾が貫通しない事を確認するペネトレーションテスト。銃自体の貫通力をハイペネトレーションと言う。警察特殊部隊などで、室内においてハイペネトレーションな銃器を持つと、近距離ゆえに容疑者が着用している防弾ベストを貫通してしまう、オーバーペネトレーションを引き起こす。
本項では、ネットワークにおけるペネトレーションテストについて詳述する。
概要
ネットワークに接続されているコンピュータシステムは常に外部からの攻撃の危険を孕んでおり、実際に攻撃された場合はどのようにシステムが乗っ取られるのか、侵入に対してどこまでセキュリティツールが耐えうるのか、など実際にシステムが稼動する前に幅広いテストを行う。
ペネトレーションCD
個人レベルでもペネトレーションテストを行えるLinuxベースのLive CDが存在する。
- Kali Linux - BackTrack Linuxの後継
- BackTrack Linux
- Whoppix - Whaxに名称変更の後、BackTrack Linuxに統合、
- BlackArch Linux - Arch Linuxをベースとしたもの。
- Knoppix-STD
- PHLAK
- Parrot Security OS
ペネトレーションテストソフトウェア
- Metasploit Rapid7により開発・提供
資格
ペネトレーションテスト関連の資格として以下のものがある:
| 資格名 | 主催 | 公式サイト |
|---|---|---|
| Certified Ethical Hacker(CEH) | EC-Council | “Certfied Ethical Hacker”. 2018年10月22日閲覧。 |
| CompTIA PenTest+ | CompTIA | “CompTIA PenTest+”. 2021年7月22日閲覧。 |
| Offensive Security Certified Professional(OSCP) | Offensive Security | “Offensive Security Certified Professional”. 2018年10月22日閲覧。 |
| Global Information Assurance Certification(GIAC) | SANS Institute | “GIAC”. 2018年10月22日閲覧。 |
脚注
- ^ Krishna, Ananda (2019年10月31日). “Guide on Website Penetration Testing (Website Pentesting)” (英語). www.getastra.com. 2021年12月25日閲覧。
関連項目
外部リンク
 |
この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |
| 典拠管理データベース: 国立図書館 |
|---|
ペネトレーションテスト
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「ペネトレーションテスト」の解説
詳細は「ペネトレーションテスト」を参照 ペネトレーションテストは実際の攻撃で使われる手口をそのまま利用する事で、人間が検査システムに攻撃をしかける事によりシステムの弱点を見つけ、システムが実際に攻撃されたときどこまで侵入され、どのような被害が発生するのか明らかにする検査であり、基本的に運用フェーズに行われる。ペネトレーションテストを実施するには攻撃手法に関する高度な知識を必要とするため、セキュリティ企業に依頼して実施する形が普通である。実際の攻撃手法を用いて検査を行うため、脆弱性のみならずシステムの不適切な運用等も発見できる。 その性質上、他の検査よりもシステムに不具合を生じさせる危険が大きいため、影響範囲を事前に特定し、復旧計画を立てて実施する必要がある。 テストは対象システムの構造をテストする人(ペンテスター)が知っているホワイトボックステストとシステム構造を知らないブラックボックステストにわけられ、さらに攻撃を開始する場所がシステム外部である外部テストとシステム内部である内部テストにわけられる。
※この「ペネトレーションテスト」の解説は、「サイバーセキュリティ」の解説の一部です。
「ペネトレーションテスト」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- ペネトレーション‐テストのページへのリンク
