メインコンテンツへ
セキュリティセキュリティ実践

ペネトレーションテストの手法について正しいものはどれか。

ア.ブラックボックステストのみが正式な手法とされ、内部情報を事前に共有することは許可されていない
イ.自動スキャンツールだけで完全なペネトレーションテストが実施できる
ウ.テスト対象の情報量によりブラックボックス・グレーボックス・ホワイトボックスの3種類に分類され、それぞれ異なる前提条件と検出能力を持つ正解
エ.ペネトレーションテストは必ず本番環境で実施し、実際のシステムへの影響を確認することが求められる

解説

ペネトレーションテストの3分類は「探偵の捜査方法」みたいなもの。ブラックボックスは「手がかりゼロから始める名探偵」(本物の攻撃者視点)、グレーボックスは「部分的な地図を持つ探偵」(内部者的攻撃)、ホワイトボックスは「全設計図・ソースコードを持つ探偵」(徹底的なコードレビュー)。目的と予算で選ぶ!

なぜ ウ が正解か

ペネトレーションテストの3種類:①ブラックボックス:事前情報なし(ドメイン名のみ等)→外部攻撃者視点・時間が長くかかる②グレーボックス:部分情報(システム概要・認証情報の一部)→内部犯・取引先からの攻撃を想定・効率的③ホワイトボックス:完全情報(ソースコード・設計書・全認証情報)→論理的脆弱性を深く検査・最も網羅的。フェーズ:情報収集→スキャン→脆弱性評価→攻撃→ポストエクスプロイテーション→報告書作成。

なぜ ア は間違いか

ブラックボックス以外も正式な手法として広く採用されている。グレーボックスとホワイトボックスはコスト効率と検出率のバランスで実際に多用される。「内部情報の共有禁止」というルールは存在しない。

なぜ イ は間違いか

自動スキャンツール(Nessus・OpenVAS等)は脆弱性スキャンを効率化するが、複雑なビジネスロジックの脆弱性・ゼロデイ・連鎖攻撃は人手のペネトレーションテストが必須。ツールだけでは不完全。

なぜ エ は間違いか

本番環境でのペネトレーションテストはサービス停止リスクがあるため、スコープと影響を慎重に定義するか、ステージング環境で実施することも多い。「必ず本番で実施」は誤り。

出典: AI生成問題(学習用)