「侵入テスト」はなぜ、サイバー攻撃への備えとして有効なのか？

要約

　組織のシステムや重要データを狙うサイバー攻撃は後を絶たず、高度化、多様化を続けている。こうした攻撃に対抗するため、組織はさまざまなサイバーセキュリティ対策を実施しているが、現実の脅威に直面したとき、それが有効に機能する保証は、実はどこにもない。

　今回紹介する「ペネトレーションテスト（侵入テスト）」は、脅威がどのようにシステムに侵入し、インシデントを引き起こすのかの実際に基づいたシミュレーションだ。現実的な攻撃シナリオから導き出されたリスク評価は的確で、多くの組織や重要インフラなどでの導入が進みつつある。

　あるベンダーのペネトレーションテストでは、ソフトウェア脆弱（ぜいじゃく）性を攻撃した場合84％、ネットワーク設定ミスを攻撃した場合80％、クレデンシャルを取得する攻撃で53％、システムへの侵入に成功したという。

　本コンテンツでは、ペネトレーションテストの手法や高度なテストプロセスについて紹介する。万全のはずのセキュリティ対策が、本当に万全といえるのか、いま一度見直してほしい。