🛡️

【PenTest+】PenTest概要 : 脆弱性テストとは?

に公開
Security
学習記録
comptia
pentestplus
idea

🧐 What is it?

PenTest (ペネトレーションテスト) とは:

システム(アプリケーション、ネットワークなど)に対するサイバー攻撃を模擬的に実行し、その脆弱性を特定し、悪用される可能性のある経路を探索するプロセス。

対象がどれほど脆弱であるかを把握し、セキュリティ改善に繋げるための重要な手法であり、ペネトレーションテストは倫理的な範囲で行われ、特定された脆弱性の悪用は決して推奨されない
(とはいえ、悪用する人間はいる)

✨ Why is it important?


現代において、ネットワークやアプリケーションを介して個人情報、クレジットカード情報、その他プライベート情報といった機密性の高いデータが日々大量にやり取りされている

  • 個人情報
  • クレジットカード情報
  • その他、他人に知られたくないプライバシー情報

システム開発者や企業はこれらの情報を保護し、漏洩から守る重大な責任を負っている。が、人的ミスやシステム上の欠陥など、様々な理由で情報漏洩のリスクは常に存在する。特に、悪意を持って情報を窃取しようとする攻撃者が存在することも悲しきかな事実。

ペネトレーションテストは、このような現実的な脅威に対して、専門家がシステムを評価し、実際に情報漏洩が発生し得るのかを検証する、極めて重要なプロセスと言えます。

🚀 How it works


ペネトレーションのプロセスは複数のステップに分かれている

  1. Planning and Engagement : ペネトレーションテストの計画とテストにおける制約・規定の確認
  2. Information Gathering : アタック前の情報収集。この収集は事前の合意や決まりによって異なってくる
  3. Attacks and Exploit : 実際の攻撃と搾取
  4. Post-Exploitation : 攻撃したのちにアクセスの維持からアクセスレベルの昇格の試み
  5. Reporting : ペネトレーションテスト全体で得た知見と問題点のレポート化

🔑 Key Takeaways

  • 世の中大事な情報が飛び交ってるよ
  • その情報が漏れたり取られたりすることがあるよ
  • ペネトレーションテストを通して自分たちのサービスのセキュリティ改善を努めるのは大事だよ。

Discussion