「ペネトレーションテストをやるべきだと言われたが、何から決めればいいのか分からない」
「ペネトレーションテストと脆弱性診断との違いは分かるようで分からない」
こうした相談は、情シスの現場でも増加傾向にあります。実際、警察庁の報告によると、2025年の不正アクセス行為の認知件数は7,190件で、前年より約34.2%増加しました。あわせて、脆弱性探索行為などの不審なアクセスも、1日・1IPアドレス当たり9,605.7件と高水準です。机上の対策だけでは不十分だと感じる企業が増えるのは、自然な流れです。
先に結論を言うと、ペネトレーションテストは「承認された範囲で、攻撃者の視点から本当に侵入や悪用が成立するかを確かめるテスト」です。進め方は、やみくもにツールを振るのではなく、目的とスコープを決め、攻撃シナリオを作り、情報収集と検証を行い、最後に報告書へ落とし込む流れで整理できます。
このページで整理するのは、次の3つです。
- ペネトレーションテストとは何か
- 具体的な5ステップのやり方
- 種類・手法の違いと、自社に合う選び方
CyberCrewのペネトレーションテストは、ホワイトハッカーによる攻撃者視点での模擬攻撃を通じて、どこまで突破され、どこに影響するのか”を再現・検証する実践型のセキュリティ評価です。単なる脆弱性の列挙にとどまらず、本質的なリスクを明らかにします。
TABLE OF CONTENTS
ペネトレーションテストとは
ペネトレーションテストは、ひとことで言えば「公認のハッキングで、実際に通ってしまう攻撃経路を見つけるテスト」です。ここではまず、意味と脆弱性診断との違い、そして導入する価値と注意点を整理します。
ペネトレーションテストの意味・定義
ペネトレーションテストは、「侵入テスト」「ペンテスト」と呼ばれることもあります。NIST の用語集では、システムやプロセスが積極的な攻撃の試みにどこまで耐えられるかを確認するテストとして整理されており、別の定義では、利用可能な設計書やマニュアルなどを用いながら、一定の制約下でセキュリティ機能を迂回できるかを試す手法とも説明されています。つまり、ただ弱点を数えるのではなく、攻撃者の行動を模した検証である点が本質です。
現場の感覚で言い換えるなら、ペネトレーションテストは「脆弱性があるか」よりも、「その脆弱性を使って本当にどこまで行けるのか」を見るものです。外部公開の Web アプリ、VPN、クラウド設定、Active Directory、権限管理など、単独では軽く見える問題でも、組み合わせると重大事故になることがあります。ペネトレーションテストは、その“つながったときの危険性”を明らかにするためのものです。
ペネトレーションテストと脆弱性診断との違い
ペネトレーションテストと脆弱性診断との違いは、発注判断でもっとも重要なポイントです。
脆弱性診断は弱点を広く洗い出すもの、ペネトレーションテストはその弱点を起点に、侵入や被害拡大が成立するかを確かめるものです。PCI SSC のガイダンスでも、ペネトレーションテストと 脆弱性診断は、スコープや適用方法の異なる別の評価手法として整理されています。
| 比較軸 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | 弱点の洗い出し | 実害ベースの侵入可能性確認 |
| 調査範囲 | 網羅的に広く | 攻撃シナリオに沿って深く |
| 深度 | 個別の脆弱性の有無 | 複数の弱点を連鎖させた到達性 |
| 費用 | 比較的抑えやすい | 高額化しやすい |
| 期間 | 数日〜数週間 | 数週間〜数か月になることもある |
どちらを先にやるべきかで迷ったら、基本は先に脆弱性診断、その後に重要システムへペネトレーションテストです。全体像が見えていない状態でいきなり侵入検証をしても、評価対象がぶれやすく、費用も上がりやすくなります。
CyberCrewでも、ペネトレーションテストに脆弱性診断の前提工程を含める考え方を採っています。
ペネトレーションテストのメリット3選
ペネトレーションテストの一番の価値は、机上では見えないリスクを現実の攻撃経路として示せることです。脆弱性一覧だけでは経営層が動きにくい場面でも、「外部公開サーバーからここに入り、ここまで到達できる」という形で示せると、優先度が一気に伝わります。金融庁のガイドラインでも、脆弱性評価やペネトレーションテストで見つかった重要な所見は、速やかに経営層へ報告すべきとされています。
2つ目は、ステークホルダーへの説明材料になることです。取引先、監査、経営会議、投資家対応などでは、「対策しています」だけでは弱く、「どういう前提で、どの程度まで検証したか」を示せるかが重要になります。
3つ目は、対策の優先順位が明確になることです。脆弱性の数ではなく、事業インパクトの大きい攻撃経路から塞げるので、改善投資を説明しやすくなります。
ペネトレーションテストのデメリット・注意点
一方で、ペネトレーションテストは万能ではありません。まず、費用が高額になりやすい点があります。攻撃シナリオ設計、手動検証、報告書作成まで含まれるため、単なる自動スキャンより工数が大きいからです。PCI SSC も、ペネトレーションテストはスコープや方法論を定めて実施すべきものとしており、軽い確認作業とは位置づけていません。
次に、システムへの影響リスクがあります。実運用環境で検証する以上、負荷や想定外の挙動がゼロになるとは言い切れません。さらに、品質は実施者のスキルに大きく依存します。同じ「ペネトレーションテスト」という名前でも、どこまでシナリオ設計し、どこまで手動で深掘りするかで中身はかなり変わります。だからこそ、ベンダー選びと事前のルール設定が重要です。
あわせて読みたい
ペネトレーションテストのやり方|5つのステップ
ペネトレーションテストは、順番に整理するとそれほど複雑ではありません。
大事なのは、最初にツールへ飛びつかず、目的→シナリオ→偵察→検証→報告の順で進めることです。
STEP1:目的・スコープの設定
最初に決めるべきは、「何を守りたいか」と「どこまでテストするか」です。守るべき資産は、顧客情報、認証基盤、決済、業務停止に直結する管理画面、クラウド上の重要データなど、企業によって違います。ここが曖昧だと、テストは派手でも実務にはつながりません。NIST では、ROE(Rules of Engagement)を、テスト開始前に定める詳細なガイドラインと制約条件と説明しています。
スコープは、Web アプリ、ネットワーク、クラウド、VPN、IoT など対象ごとに切り分けます。もちろん、広く設定するほど費用は上がります。特にクラウド環境では注意が必要で、AWS は許可されたサービスに対するセキュリティ評価やペネトレーションテストを事前承認なしで実施できる一方、C2 を含むテストは事前承認が必要で、AWS のインフラやサービス自体の評価は認めていません。クラウドは“自社環境”だから何をしてもよい、ではない点に注意が必要です。
STEP2:攻撃シナリオの作成
攻撃シナリオとは、簡単に言えば「攻撃者がどうやって入り、どこを通って、何を狙うか」という筋書きです。この設計が曖昧だと、テストはただのイベントで終わります。金融庁のガイドラインでも、TLPT(脅威ベースのペネトレーションテスト) を行う際には、実際の攻撃者の巧妙さを踏まえ、深刻だが現実的な脅威シナリオを計画に含めるべきだとしています。
代表的なシナリオとしては、たとえば次の3つが考えられます。
- 1つ目は、標的型メールを起点に端末侵害から社内ネットワークへ広がるケース。
- 2つ目は、Web アプリの入力不備を足がかりに DB へ到達するケース。
- 3つ目は、クラウドの設定不備や権限設計ミスを起点に権限昇格へ進むケースです。
どれも珍しい話ではなく、実際の攻撃はこうした小さな弱点の連鎖で成立します。シナリオの質が、そのままテストの質を左右します。
STEP3:情報収集・偵察
攻撃者は、いきなり侵入しません。最初にやるのは、必ず情報収集です。whois、DNS、証明書情報、公開リポジトリ、SNS、Shodan などを使って、公開面や設定の癖を見ていきます。OSINT は派手さこそありませんが、攻撃シナリオを現実に近づけるための土台です。CyberCrewでも、標的型のペネトレーションテストでは OSINT から攻撃実行・報告までを一連で扱っています。
自分で学びたい人は、この段階から安全な練習環境を使うのが現実的です。OffSec の PEN-200は、情報収集、脆弱性スキャン、Web 攻撃、権限昇格、Active Directory、AWS まで含む実践コースとして公開されています。加えて、TryHackMe や Hack The Box は、実践的なラボや学習パスを提供しており、無断で他人の環境を触らずに経験を積む場として有効です。
STEP4:侵入テストの実施
ここでようやく、実際の検証に入ります。流れとしては、自動スキャンで候補を絞り、その後に手動で深掘りするのが基本です。DASTについて OWASP は、実行中のアプリケーションに対して実際に攻撃を行いながら脆弱性を見つけるブラックボックス型のテストだと説明しています。一方で、同じ OWASP は、業務ロジック不備や特定条件下の問題は手動評価でないと拾えないとも明記しています。
この段階で扱う代表的な手法としては、ネットワーク攻撃、XSS、SQLi、権限昇格、場合によってはソーシャルエンジニアリングなどがあります。ただし、ここは最も慎重さが求められる工程です。テスト中は必ず記録を残し、使った手法、到達点、ログ、影響範囲をその場で押さえておく必要があります。報告書は最後に思い出して書くものではなく、この工程の記録が土台になります。
STEP5:報告書の作成・対策の立案
報告書では、単に「この脆弱性がありました」と並べるだけでは足りません。少なくとも、リスク評価、再現手順、到達範囲、推奨対策、優先順位は必要です。金融庁のガイドラインでも、重要な所見を経営層へ報告し、改善活動につなげることが求められています。
経営層向けには、「どこが危ないか」だけでなく、「被害が起きた場合に何が止まるか」「どの順で直すべきか」まで示すと動きやすくなります。情シスが稟議に使うなら、技術詳細と経営向け要約を分けておくのが実務的です。CyberCrewでも、攻撃経路や再現手順、優先度まで整理した報告を重視しています。
ペネトレーションテストの種類
ペネトレーションテストは、対象の場所で大きく2種類に分かれます。
まず外部からの侵入を想定するのか、すでに内部へ入られた後を想定するのかで、見るべきポイントが変わります。金融庁も、VPN やインターネット非接続の内部環境を含めて、脆弱性評価やペネトレーションテストのスコープを考えるよう求めています。
外部ペネトレーションテスト
外部ペネトレーションテストは、インターネット経由の攻撃を前提に行うものです。公開 Web サーバー、VPN、リモートアクセス基盤、公開 API、メール周辺などが主な対象になります。いわば、「外から見えている入口が、どこまで危険か」を確認するテストです。実際の攻撃もここから始まることが多いため、最初に実施するならこちらが基本です。
標的型メールや Web サーバー侵入のように、外部起点のリスクを見たい企業には向いています。リリース前の Web アプリや、新たに公開した SaaS、外部公開 VPN を持つ企業では、優先度が高いテストです。
内部ペネトレーションテスト
内部ペネトレーションテストは、「すでに誰かが中へ入っている」前提で進めます。たとえば、端末侵害、内部不正、委託先経由、ランサムウェアの横展開などを想定し、どこまで権限が広がるか、どの資産まで到達できるかを見ます。金融庁も、内部環境をスコープに含めるべきことや、TLPT では Blue Team の検知・封じ込め能力まで評価すべきことを示しています。
特に、Active Directory やファイルサーバー、基幹システム、クラウド管理権限などを持つ企業では有効です。外部テストだけでは「入口」は見えても、入られた後の被害拡大までは分からないことが多いからです。外部と内部を組み合わせると、対策の優先順位がかなり明確になります。
ペネトレーションテストの手法
次に、事前にどこまで情報を開示するかによる違いです。
一般的には、ブラックボックス、ホワイトボックス、グレーボックスの3つで整理されます。NIST 系の定義でも、黒箱は内部構造を知らない、白箱は内部構造を十分に知っている、灰色箱は一部知っている状態として説明されています。
ブラックボックステスト
ブラックボックスは、事前情報をほとんど持たずに行う手法です。現実の外部攻撃者に最も近く、リアリティが高いのが強みです。一方で、調査時間が長くなりやすく、コストも上がりやすい傾向があります。NIST の定義でも、内部構造の知識を前提としないテストとして整理されています。
向いているのは、本番環境の耐性をできるだけ現実に近い形で見たいケースです。ただし、限られた期間や予算では深掘りしきれないこともあります。
ホワイトボックステスト
ホワイトボックスは、設計書、構成、認証情報などを共有したうえで実施する手法です。内部事情を把握した状態で進めるため、効率がよく、短期間で深く見やすいのが利点です。NIST でも、内部構造や実装詳細について明示的かつ十分な知識を前提とするテストと定義されています。
開発段階や、限られた予算で重点箇所を深く見たい企業には向いています。ただし、外部攻撃者そのままの視点ではないため、リアルさはやや落ちます。
グレーボックステスト
グレーボックスは、その中間です。限定的なアカウント情報や構成情報だけを共有し、現実性と効率のバランスを取ります。NIST 系の定義でも、「内部構造や実装詳細について、ある程度の知識がある状態」とされています。
実務では、このグレーボックスが最も使いやすいケースが多いです。必要以上に時間をかけず、なおかつ実際の攻撃シナリオにも寄せやすいからです。PCI SSC のガイダンスも、ペネトレーションテスト方法論の中で内部・外部や各種コンポーネントの整理を重視しており、現場ではグレーボックスが落としどころになることがよくあります。
ホワイトハッカーによる実践的なペネトレーションテストならCyberCrewへ
やり方を理解すると、逆に「全部を自社だけでやるのは現実的ではない」と感じる方も多いはずです。特に、攻撃シナリオの質、手動検証の深さ、報告書のわかりやすさは、ツールの数よりも人の経験で差が出ます。警察庁や金融庁の資料を見ても、いま求められているのは“形式的な実施”ではなく、実効性のある評価です。
CyberCrewでは、ホワイトハッカーによる手動検証を重視したペネトレーションテストを提供しています。脆弱性診断を前提工程として含めながら、攻撃者視点でシナリオを設計し、到達範囲と事業影響まで見える形で整理するのが特徴です。Web、クラウド、ネットワーク、シナリオ型まで対応しており、まずは無料相談から対象範囲をご相談いただけます。
よくある質問(FAQ)
ペネトレーションテストと脆弱性診断はどちらを先にやるべきですか?
基本は、先に脆弱性診断です。まず広く弱点を洗い出し、そのうえで重要システムや高リスク経路に対してペネトレーションテストを重ねる方が、費用対効果も説明しやすくなります。
ペネトレーションテストはどのくらいの頻度で実施すべきですか?
少なくとも定期実施が前提で、年1回を基準にする企業が多く、重要な変更や大型リリースのタイミングでも見直すのが一般的です。PCI SSC のガイダンスでも、少なくとも毎年1回、重要な変更後にも実施するとされています。金融庁も TLPT の定期実施に触れています。
テスト中にシステムが止まることはありますか?
可能性はゼロではありません。ただし、事前にスコープ、時間帯、停止条件、連絡体制を決めておけば、影響はかなり抑えられます。本番が不安な場合は、ステージング環境での先行実施も有効です。
小規模企業でもペネトレーションテストは必要ですか?
規模に関係なく、攻撃対象にはなり得ます。ただし、最初から全面的なペネトレーションテストを行うより、まず脆弱性診断から始め、公開 Web や認証基盤など重要領域に絞って追加する方が現実的です。
ペネトレーションテストとDASTの違いは何ですか?
DAST は、実行中の Web アプリに対して外側から脆弱性を探す動的テストです。OWASP でもブラックボックス型のテストと説明されています。一方、ペネトレーションテストは人の判断でシナリオを組み、複数の弱点をつなげて実害ベースで検証するため、深さと柔軟性が違います。
まとめ|ペネトレーションテストは「やり方」と「前提整理」が重要
ペネトレーションテストは、ただツールを使って攻撃を試す作業ではありません。
何を守りたいのかを明確にし、対象範囲を決め、現実的な攻撃シナリオを設計したうえで、情報収集・検証・報告までを一連で進めてはじめて意味のあるテストになります。
脆弱性診断が「弱点を広く洗い出す」ためのものだとすれば、ペネトレーションテストは「その弱点を使って実際に何が起きるか」を確かめるためのものです。そのため、まずは脆弱性診断で全体像を把握し、そのうえで重要なシステムや高リスクな経路に対してペネトレーションテストを実施する流れが現実的です。
また、外部テストと内部テスト、ブラックボックス・ホワイトボックス・グレーボックスといった種類や手法の違いを理解しておくことで、自社に合った進め方も選びやすくなります。特に、実施の品質は攻撃シナリオの設計と報告書の質に大きく左右されるため、単に「やること」よりも「どう設計し、どう評価するか」が重要です。
自社だけで進めるのが難しい場合や、本番環境への影響を抑えながら実践的に検証したい場合は、ホワイトハッカーによる専門的な支援を活用するのも有効です。大切なのは、形式的に実施することではなく、自社のリスクを正しく把握し、改善につなげることです。
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
