ペネトレーションテスト

脆弱性が一つ見つかっただけでは、攻撃者が本当に内部の重要データまで到達できるのかは分からない。ペネトレーションテストは、専門家が実際に攻撃者の手口を試し、複数の弱点を組み合わせてどこまで侵入できるかを確かめる評価である。既知の弱点を網羅的に洗い出す脆弱性診断とは目的が異なり、こちらは特定の侵入シナリオを立てて「実際に突破されるか」を実証する点に重心がある。自治体では住民情報を扱う基幹システムや外部公開しているWebサービスを対象に、調達仕様で実施を求めたり、重要システムの稼働前に外部の専門事業者へ委託したりする。本番環境で攻撃を模擬するため、業務への影響範囲や実施時間帯を事前に取り決めたうえで慎重に進める必要がある。

脆弱性診断との違い

ペネトレーションテストと脆弱性診断はしばしば混同されるが、目的が異なる。脆弱性診断は、ツールや専門家が既知の弱点を網羅的に洗い出し、修正すべき穴の一覧をつくる「広い点検」である。これに対しペネトレーションテストは、攻撃者の視点で特定の侵入シナリオを立て、複数の弱点を連鎖させて重要資産までどこまで到達できるかを「深く実証する」評価である。前者は弱点が残っていないかを確かめ、後者は残った弱点が実際に悪用可能かを確かめる。両者は排他ではなく、まず診断で穴をふさぎ、重要システムについてはペネトレーションテストで実戦的な耐性を検証する、という組み合わせで用いられることが多い。

自治体での実施と留意点

自治体がペネトレーションテストを行う場面は、住民情報を扱う基幹業務システムや外部公開Webサービスの稼働前後、あるいは大きな改修後が中心である。高度な攻撃手法の再現には専門知識を要するため、外部の専門事業者へ委託するのが一般的で、調達仕様書に評価範囲・手法・報告書の要件を盛り込む。本番環境に近い状態で実際に攻撃を試みる性質上、業務停止やデータ破損のリスクがあるため、対象範囲・実施時間帯・緊急停止の手順を事前に合意しておくことが欠かせない。テストで判明した到達経路は、単独では軽微とされた脆弱性が連鎖して重大な侵入を許す実態を示すため、修正の優先順位づけの根拠として活用する。