ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開（脆弱性診断士スキルマッププロジェクト）

脆弱性診断士スキルマッププロジェクトは、「ペネトレーションテストについて」と題するドキュメントを公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2019.12.10 Tue 8:05

脆弱性診断士スキルマッププロジェクトは12月9日、「ペネトレーションテストについて」と題するドキュメントを公開した。同プロジェクトは、日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG（WG1）と、OWASP Japan主催の共同ワーキンググループ。上野宣氏が代表を務めており、今回のドキュメントの執筆も行っている。

「ペネトレーションテスト」の提供ベンダ、採用企業が増加しているが、ペネトレーションテストという名称に共通認識がなく、「脆弱性診断」のことをペネトレーションテストと呼んでいるテストベンダーもある。同ドキュメントはこの現状を受け、ペネトレーションテストの位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的としている。

ドキュメントでは、脆弱性診断とペネトレーションテストの違いを「目的」「手法」「調査対象」「結果・報告書」の項目により明確に定義した上で、ペネトレーションテストの費用感、期間の目安や、実施すべき組織、実施時の検討事項、実施前・実施中・実施後に行うことなどを詳しく説明している。また、ケーススタディや事例を紹介し、具体的なイメージをつかむことができる。最近、注目を集めている「TLPT（Threat-Led Penetration Test：脅威ベースのペネトレーションテスト）」についても詳しく紹介している。

《吉澤亨史（ Kouji Yoshizawa ）》