Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “Pentest と脆弱性診断の違い” part: “Part 0” chapter: “0-2”

Pentest と脆弱性診断の違い

本書の中心テーマであるペネトレーションテスト(Pentest)と、一般的な「脆弱性診断」は、しばしば混同されるが、目的・スコープ・成果物のいずれも異なる。ここでは、本書全体の前提として両者の違いを整理する。

本章のゴール

  • 前提:セキュリティ評価(脆弱性診断や Pentest)の用語を一度は聞いたことがある。
  • 到達目標:脆弱性診断と Pentest の違いを「目的/スコープ/成果物」の観点で説明し、本書の狙い(攻撃チェーンと実務成果物に接続すること)を理解できる。
  • 対応演習:自身の想定ケース(演習または業務)について、目的・対象範囲・成果物を 1 枚に整理し、どちらの評価が適切かを言語化する。

目的の違い

  • 脆弱性診断
    主な目的は、対象システムに存在する脆弱性を網羅的に洗い出し、そのリスクと対策を提示することである。網羅性と再現性を重視し、チェックリストや標準ガイドライン(例:OWASP ASVS、OWASP Web Security Testing Guide(WSTG))に基づいた評価を行う。

  • ペネトレーションテスト(Pentest)
    主な目的は、実際の攻撃者視点で攻撃シナリオを構築し、「どこまで侵害できるか」「どの経路で重要資産に到達しうるか」を検証することである。個々の脆弱性の有無だけでなく、複数の脆弱性や設定ミスを組み合わせた攻撃チェーンを重視する。

スコープの違い

  • 脆弱性診断
    一般に、Web アプリケーションや API といった特定コンポーネント単位でスコープが定義される。入力値検証、認証/認可、セッション管理、エラーハンドリングなど、各カテゴリごとにテストケースが整理される。

  • Pentest
    ネットワーク境界、クラウド構成、認証基盤、エンドポイント、開発・運用プロセスなど、より広範なスコープを対象としうる。内部/外部、ブラックボックス/ホワイトボックスなど、前提に応じてテスト設計が変化する。

成果物の違い

  • 脆弱性診断レポート
    個々の脆弱性ごとに、概要・影響度・再現手順・対策案を記載する形式が一般的である。経営層向けサマリと技術担当者向け詳細が併記されることが多い。

  • Pentest レポート
    攻撃シナリオ全体を重視し、「どのような前提条件で侵入が成立しうるか」「どの経路で重要情報にアクセス可能であったか」をストーリーとして記述する。個別の脆弱性の説明に加え、Kill Chain や MITRE ATT&CK などのフレームワークに基づき、攻撃ライフサイクルの観点から評価する。

本書における立ち位置

本書は、いわゆる「脆弱性診断」の手法も網羅しつつ、最終的には Pentest の視点でシステム全体を評価できるようになることを目標とする。そのために以下を重視する。

  • OWASP ASVS / WSTG に基づく体系的な診断観点の整理
  • Kill Chain、MITRE ATT&CK、STRIDE などによる攻撃モデルの理解
  • 個々の脆弱性を起点とした、攻撃チェーンの構築方法
  • 実務で利用可能なレポートテンプレートとサンプル

以降の Part では、診断と Pentest の両方の観点を意識しながら、具体的な技術・ツール・演習を解説していく。

本章のポイント

  • 脆弱性診断は「脆弱性の網羅的な洗い出しと対策提示」を主目的とし、Pentest は「攻撃シナリオ(攻撃チェーン)でどこまで侵害できるか」を検証する。
  • 両者は目的だけでなく、スコープ(対象範囲の広さ)と成果物(一覧中心か、シナリオ中心か)も異なる。
  • 本書は診断観点の体系性(ASVS 等)を土台にしつつ、最終的に Pentest の成果物へ接続する構成を取る。