ペネトレーションテストと 倫理的ハッキング
ペネトレーションテストは倫理的ハッキングと非常に密接に関連しているため、これら2つの用語はしばしば同じ意味で使用されます。ただし、これら2つの用語の間には細い線の違いがあります。この章では、侵入テストと倫理的ハッキングの基本的な概念と基本的な違いについて説明します。
ペネトレーションテスト
ペネトレーションテストは特定の用語であり、システムのセキュリティ保護と制御を目的として、脆弱性、リスク、およびターゲット環境の発見にのみ焦点を当てています。言い換えれば、侵入テストは、すべてのコンピュータシステムとそのインフラストラクチャで構成されるそれぞれの組織の防御システムを対象としています。
倫理的ハッキング
一方、倫理的ハッキングは、すべてのハッキング手法、およびその他の関連するコンピューター攻撃手法を網羅する広範な用語です。したがって、セキュリティの欠陥や脆弱性を発見し、ターゲットシステムのセキュリティを確保するとともに、システムをハッキングするだけでなく、将来の目的のためにセキュリティを保護するための許可を得ることができます。したがって、それは包括的な用語であり、侵入テストは倫理的ハッキングの特徴の1つです。
以下は、次の表にリストされている侵入テストと倫理的ハッキングの主な違いです。
ペネトレーションテスト | 倫理的ハッキング |
---|---|
狭い用語は、セキュリティシステムを保護するための侵入テストにのみ焦点を当てています。 | 包括的な用語と侵入テストは、その機能の1つです。 |
テスターは基本的に、ペンテストを実施する特定の領域のみの知識を持つために必要なすべての包括的な知識を持っている必要があります。 | 倫理的なハッカーは、基本的に、ハードウェアだけでなくソフトウェアプログラミングの包括的な知識を持っている必要があります。 |
テスターは必ずしも優れたレポートライターである必要はありません。 | 倫理的なハッカーは、本質的にレポート作成の専門家である必要があります。 |
ペネトレーションテストの入力があるテスターであれば、ペンテストを実行できます。 | それは、効果的であるために倫理的ハッキングの義務的な認定を持っている主題の専門家である必要があります。 |
倫理的なハッキングと比較して、紙の作業は少なくて済みます。 | 法的な合意などを含む詳細な書類が必要です。 |
このタイプのテストを実行するには、必要な時間が短縮されます。 | 倫理的なハッキングには、侵入テストと比較して多くの時間と労力が必要です。 |
通常、コンピュータシステム全体とそのインフラストラクチャへのアクセスは必要ありません。アクセシビリティは、テスターが侵入テストを実行する部分にのみ必要です。 | 状況に応じて、通常、すべてのコンピュータシステムとそのインフラストラクチャにあらゆる範囲のアクセシビリティが必要です。 |
侵入技術は脅威から保護するために使用されるため、潜在的な攻撃者も急速に高度化し、現在のアプリケーションに新しい弱点を生み出しています。したがって、特定の種類の単一侵入テストでは、テスト対象のシステムのセキュリティを保護するのに十分ではありません。
レポートによると、場合によっては、新しいセキュリティの抜け穴が発見され、侵入テストの直後に攻撃が成功しました。ただし、侵入テストが役に立たないという意味ではありません。これは、徹底的な侵入テストでは攻撃が成功しないという保証がないことを意味するだけですが、間違いなく、テストによって攻撃が成功する可能性が大幅に減少します。