概要
ペネトレーションテスト(ペンテスト) は、攻撃者の視点でシステムに侵入を試みることで実際のリスクを把握するセキュリティテスト手法です。脆弱性診断(脆弱性スキャン) とは目的・深度・スコープが異なります。SC試験では両者の違い、実施のタイミング、CVSSによるリスク評価が問われます。
仕組みと動作原理
ペネトレーションテスト vs 脆弱性診断
| 観点 | ペネトレーションテスト | 脆弱性診断 |
|---|---|---|
| 目的 | 実際の侵入可能性・ビジネスへの影響を確認 | 既知脆弱性の網羅的な洗い出し |
| 深度 | 深い(脆弱性を連鎖させて目標達成まで追う) | 広い(すべての既知パターンをチェック) |
| 自動化 | 手動主体(ツール+人間の判断) | 自動スキャナが中心 |
| 期間・コスト | 長い・高い | 短い・安い |
| 成果物 | 侵入経路・影響の実証レポート | 脆弱性一覧・CVSSスコア |
| 実施頻度 | 年1〜2回・大きな変更時 | 継続的(CI/CDに組み込むことも) |
テスト手法の分類(情報量による)
| 手法 | 事前情報 | 特徴 |
|---|---|---|
| ブラックボックス | なし(IPアドレスのみ等) | 外部攻撃者の視点を再現。時間がかかる |
| グレーボックス | 一部(認証情報・アーキテクチャ概要等) | 最も一般的。内部脅威・認証後の挙動を確認 |
| ホワイトボックス | すべて(ソースコード・設計書等) | 最も網羅的。コードレベルの脆弱性を発見しやすい |
ペネトレーションテストのフェーズ
1. 計画・スコープ定義
→ 対象範囲・目標・制約(禁止事項)・緊急連絡先の合意
2. 偵察(Reconnaissance)
→ OSINT・DNS列挙・ポートスキャン(nmap)・サービスバナー取得
3. 脆弱性の特定
→ 自動スキャナ(Nessus・OpenVAS)+手動確認
4. 攻撃・侵入(Exploitation)
→ 脆弱性を悪用して標的に侵入
5. 侵入後活動(Post-Exploitation)
→ 権限昇格・横展開(ラテラルムーブメント)・持続化・データ抽出
6. 報告
→ 発見事項・影響・再現手順・修正推奨を文書化CVSSによるリスク評価
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を 0.0〜10.0 の数値で表す業界標準です(CVSS v3.1が現在主流)。
基本値(Base Score)の主な評価軸:
| 評価軸 | 観点 |
|---|---|
| 攻撃経路(AV) | ネットワーク・隣接・ローカル・物理 |
| 攻撃の複雑さ(AC) | 低・高 |
| 必要な権限(PR) | 不要・低・高 |
| ユーザ操作(UI) | 不要・必要 |
| 機密性への影響(C) | なし・低・高 |
| 完全性への影響(I) | なし・低・高 |
| 可用性への影響(A) | なし・低・高 |
CVSSスコアの深刻度区分:
| スコア | 深刻度 |
|---|---|
| 9.0〜10.0 | Critical(緊急) |
| 7.0〜8.9 | High(重要) |
| 4.0〜6.9 | Medium(警告) |
| 0.1〜3.9 | Low(注意) |
| 0.0 | None |
スコープ定義の重要性
テスト前に必ず合意が必要な事項:
- 対象範囲(In-scope):IPアドレス・ドメイン・アプリケーション
- 対象外(Out-of-scope):本番DB・第三者システム・DoS攻撃の禁止
- 制約事項:実施時間帯・通知が必要な場合の条件
- 緊急停止条件:業務影響が出た場合の中止基準と連絡先
SC試験での頻出ポイント
- 脆弱性診断とペネトレーションテストの違い:診断は「網羅的な列挙」、ペンテストは「侵入の実証」
- CVSSスコアの意味:スコアの高低と「実際の優先度」が異なる場合がある(環境・時間要因)
- スコープ外への攻撃の禁止:ペンテスト中に想定外の脆弱性を発見しても、スコープ外は攻撃してはならない
- ラテラルムーブメント:侵入後に内部ネットワーク内を横断して被害を拡大させる手法
- 報告書の構成:経営層向けエグゼクティブサマリー+技術担当向け詳細報告の2部構成が標準
よくある誤問・ひっかけパターン
誤り① 「ペネトレーションテストは自動スキャナを使えば実施できる」→ 誤。ペンテストは脆弱性を連鎖させて目標を達成するまで追う手動の高度なテストです。自動スキャナは補助ツール。
誤り② 「CVSSスコアが高い脆弱性を必ず先に修正すべき」→ 条件次第。CVSSは汎用スコアであり、自組織の環境・攻撃可能性(Exploitability)・ビジネス影響を加味して優先度を決めます。
誤り③ 「ペネトレーションテストを実施すれば安全が保証される」→ 誤。テスト時点での評価であり、その後の変更や新たな脆弱性の発見によってリスクは変化します。
関連用語
- セキュリティバイデザインとSDLC — SDLCのテストフェーズでペンテストを実施
- セキュアコーディング — ペンテストで発見された脆弱性の根本対策
- デジタルフォレンジクスと証拠保全 — ペンテスト後の報告書と同様にエビデンスの管理が重要
重要キーワード
| 用語 | 説明 |
|---|---|
| ペネトレーションテスト | 攻撃者を模擬して実際の侵入可能性を実証するセキュリティテスト |
| 脆弱性診断 | 既知の脆弱性を網羅的にスキャン・列挙するテスト |
| CVSS | 脆弱性の深刻度を0〜10のスコアで表す業界標準指標 |
| ラテラルムーブメント | 侵入後に内部ネットワーク内で横断的に活動を拡大する手法 |
| スコープ | ペネトレーションテストの対象範囲と制約事項の合意 |
| グレーボックステスト | 一部の情報を与えた上で実施するテスト手法。最も一般的 |