脆弱性診断とペネトレーションテストの違いとは

WEB関係のセキュリティチェックを行う際に、脆弱性診断とペネトレーションテストという言葉を聞くことがありますが、どちらを選ぶべきか迷う人もいるでしょう。
同じものだと認識している人が多い傾向にありますが、この2つは別物です。
目的によって選び方が異なるため、特徴や違いを知った上で適切なものを選ぶことが大切です。
まず、脆弱性診断の目的はサーバーやネットワーク、アプリケーションなどに存在する脆弱性を検出することです。
トラブルが起きる前にセキュリティ問題を知ることで、大きな問題になるのを回避できます。
サーバーであればOS、アプリなどを調べていきますが、アプリケーション特有の調査を行なっていくのが一般的です。
しかし、独自で開発したもののビジネスロジックは、検査のやり方次第で問題点を発見できないことがあります。
プロセスや仕組みを理解していなければ検出ができなかったり、誤検知することもあるため、注意しなければなりません。
まずは仕組みやプロセスをしっかりと把握しておきましょう。

侵入テストとも呼ばれるペネトレーションテストを実施する目的は名前の通り、侵入できるかどうかを目的としています。
脆弱性診断とは違い、トラブルが起きそうな点を探すというよりも、アクセスができないと想定されているリソースに侵入できるかと言った点を攻撃してくる者の視点で調査していくのです。
それを行うことで、セキュリティレベルや対応能力のレベルがどれくらい備わっているのかを知ることができます。
ヒトから発生するトラブルを含めてペネトレーションテストが行われるケースもあります。
WEB上では氏名や住所、メールアドレスなど個人情報を取り扱うことが多く、外部に漏れてはいけないデータを、なりすましによってマルウェアを送信する可能性もあります。
端末そのものを乗っ取られる可能性もゼロではありません。
攻撃の流れに沿って侵入検査を行うものだと理解しておきましょう。
このように、2つにはそれぞれ実施する目的が違います。
何を目的として検査を行うのかを明確にした上で、費用や時間のバランスを総合的に検討することが大切です。