ペネトレーションテストは、しばしば「ペンテスト」と呼ばれ、コンピュータシステム、ネットワーク、またはWebアプリケーションのセキュリティを評価するために、サイバーセキュリティで使用される方法です。侵入テストの目的は、悪意のあるハッカーが脆弱性を発見して悪用する前に、脆弱性を発見することです。
コンピュータ・システムやネットワークが要塞のようなものだと想像してください。侵入テストは、友好的なプロの泥棒(侵入テスト担当者または倫理的ハッカーとして知られている)を雇って、要塞に侵入しようとするようなものです。壁を乗り越えたり、門をくぐったり、あるいは地下にトンネルを掘ってみたりすることもあります。
目的は、物を盗んだり損害を与えたりすることではなく、要塞の防御の弱点を見つけることです。テストが終わると、プロの泥棒は、何を試し、何がうまくいき、何がうまくいかなかったか、そして最も重要なことは、彼らが見つけた弱点をどのように修正し、改善するかをまとめた報告書をあなたに提出することです。こうして、本物の泥棒がやってくる前に、防御を強化できるのです。
倫理的なハッカーは、企業のネットワークに対する侵入テストを行うために雇われるかもしれません。例えば、機密データへの不正アクセスを試みたり、ネットワークの運用を妨害しようとしたりできます。テストから得られた知見は、ネットワークのセキュリティ強化に活用されます。
侵入テスト担当者は、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの既知の脆弱性を利用して、アプリケーションのデータや機能へのアクセスを試みることがあります。このテストの結果は、開発者がアプリケーションのセキュリティを向上させるのに役立ちます。
どちらの例も、悪意ある行為者に悪用される前に脆弱性を特定し修正することで、セキュリティを向上させることを目的としています。