脆弱性スキャンと侵入テスト：その違いとは？ - TechRepublic

多くのITセキュリティ用語は、サイバーセキュリティの議論において、その類似性と文脈的な適用範囲の広さから、理解するのが難しいことが分かっています。こうした関連用語には、脆弱性スキャンや侵入テスト（通称ペンテスト）などがあります。

これらの用語は、セキュリティ侵害の発生を軽減するために IT 組織が採用する何らかの形のセキュリティ戦略を表していますが、その範囲はまったく異なります。

この記事では、これら 2 つの用語とその主な違いについて詳しく説明します。

ジャンプ先:

• 侵入テストとは何ですか?
• 組織はどのくらいの頻度でペンテストを実行する必要がありますか?
• 脆弱性スキャンとは何ですか?
• 組織はどのくらいの頻度で脆弱性スキャンを実行する必要がありますか?
• 脆弱性スキャンと侵入テストの主な違い
• ペンテストと脆弱性スキャンの利点

侵入テストとは何ですか?

ペネトレーションテストは、主に倫理的なハッカーや経験豊富なDevOpsエンジニアによって実施されるテストの一種で、組織のセキュリティアーキテクチャにおける潜在的なセキュリティギャップをテスト・特定します。また、ペネトレーションテストは、セキュリティ上の脆弱性を完全に理解し、組織のセキュリティ環境からそれらを排除する方法を見つけるために展開される倫理的なハッキングの一形態でもあります。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

ほとんどの侵入テストは、組織のシステムに対するサイバー攻撃のシミュレーションを通じて行われ、ハッカーによるあらゆる形態のサイバー攻撃を受けた場合にこれらのシステムがどのように反応するかを判断します。

組織はどのくらいの頻度でペンテストを実行する必要がありますか?

サイバー犯罪の増加により、セキュリティを重視する組織にとって、侵入テストはセキュリティ対策において不可欠な要素となっています。サイバー攻撃者は常にセキュリティ上の脆弱性を悪用する方法を模索しているため、組織はどのくらいの頻度で侵入テストを実施すべきでしょうか？

組織では、少なくとも年に1回は侵入テストを実施することが広く推奨されています。コンプライアンスベンチマークを遵守している組織の中には、定められた基準を満たすために年に2回の侵入テストの実施が求められる場合もあります。

脆弱性スキャンとは何ですか?

脆弱性スキャンは、Webアプリケーション、サーバー、ファイアウォールの脆弱性を特定し報告するためのセキュリティ管理戦略です。脆弱性スキャンの主な目的は、組織のIT部門が社内および社外のネットワーク、コンピューター、IPアドレス、通信機器の脆弱性を検出、分類、報告できるようにすることです。

一般的な脆弱性スキャンでは、上記のコンポーネントのスキャンが自動化され、誤った構成や脆弱性を解決する方法に関する詳細なレポートも提供されます。

脆弱性スキャンには、外部と内部の2種類があります。外部脆弱性スキャンは、組織の外部システムとネットワークの抜け穴をチェックし、内部脆弱性スキャンは、組織の内部ネットワークエンドポイントのセキュリティ設定に潜在的な欠陥がないかチェックします。

組織はどのくらいの頻度で脆弱性スキャンを実行する必要がありますか?

組織が脆弱性テストを実施すべき頻度は、外部規制の規定や社内の経営判断など、特定の要因によって異なります。しかし、ITセキュリティの専門家は、組織のネットワークアーキテクチャに対して、少なくとも四半期または月に1回は脆弱性スキャンを実施することを推奨しています。

脆弱性スキャンと侵入テストの主な違い

オートメーション

脆弱性スキャン

脆弱性スキャンは、脆弱性ツールを使用してテストを実行するため、通常は自動化されています。

ペンテスト

ペンテストは、ネットワークおよびアプリケーションコンポーネントのテスト実行を自動化に依存していますが、チェックが徹底的であり、結果に誤検知の痕跡が残っていないことを確認するために、多くの手動チェックが必要です。そのため、経験豊富なテスターは、ネットワークセキュリティの潜在的なギャップを検出するために、自動化ツールに過度に依存することなくペンテストを実施するのが一般的です。

脆弱性の取り扱い

脆弱性スキャン

脆弱性スキャンでは、脆弱性が検出されてもその脆弱性を悪用するわけではありません。悪用可能なセキュリティギャップを特定し、報告することに重点が置かれます。

参照：パスワード侵害：ポップカルチャーとパスワードが混ざらない理由（無料PDF）（TechRepublic）

ペンテスト

ペネトレーションテストでは、テスターはセキュリティギャップを特定するだけでなく、エクスプロイトプロセスを実行してセキュリティ設定の強度を判断します。つまり、ペネトレーションテストでは、様々なハッキング手法を用いて、サイバー攻撃を受けた際にセキュリティ設定に何が起こるかをテストします。

最終目標

脆弱性スキャン

すべての脆弱性スキャンの最終目標は、組織のネットワークとコンピューター上のセキュリティ問題を検出することです。

ペンテスト

ペネトレーションテストの目的には、予防的な側面があります。ペネトレーションテスターは脆弱性を発見し、その過程で組織のネットワークで発見された弱点をハッカーによる悪用を防ぐために修正するための最善の方法を決定することを目指します。

料金

脆弱性スキャン

脆弱性スキャンの実施コストは、ペネトレーションテストに比べて低くなります。これは、DevOpsエンジニアが脆弱性スキャンツールを用いて、外部組織のペネトレーションテスト専門家の支援なしに脆弱性スキャンを実行できるためです。つまり、ツールの費用を支払えば、追加費用なしでテストに使用できるということです。

ペンテスト

ペネトレーションテストは脆弱性スキャンよりも詳細な調査であり、通常はサイバーセキュリティ企業のペネトレーションテスト専門家の協力が必要です。ペネトレーションテスト自動化ツールの購入費用に加え、経験豊富なペネトレーションテストチームを雇用する費用も高額です。

ペンテストと脆弱性スキャンの利点

ペネトレーションテストと脆弱性スキャンのメリットは、これらのテストを実施しなかった場合の組織が支払う可能性のあるコストをはるかに上回ります。以下では、両方を実施すべき理由をご紹介します。

• どちらも、ネットワークとアプリケーション内の悪用可能な脆弱性を特定するのに役立ちます。
• 組織のセキュリティ戦略が、利用可能なセキュリティの現実と一致することを保証します。
• これらは、脆弱性に対処しない場合に組織に降りかかるリスクの範囲を把握するのに役立ちます。
• ペンテストは、組織が構成のセキュリティギャップを修正するために何を行う必要があるかを特定するのに役立ちます。
• 推奨されるコンプライアンス標準を維持するための最善の方法を組織に提供します。

こちらもご覧ください

• サイバーセキュリティのプロになる方法：チートシート
• 2022年の最高の暗号化ソフトウェア
• チェックリスト: IT スタッフのオンボーディングとオフボーディング
• サイバーセキュリティとサイバー戦争：さらに必読の記事