最終更新日:2026年5月10日
sg sg-security-measures unauthorized_access risk_assessment it_security_operations
まず結論
ペネトレーションテストとは、ネットワークや情報システムに対して、攻撃者の視点で実際に侵入を試み、脆弱性を悪用された場合の影響を確認する検査です。
SG試験では、「実際に侵入を試みるテストか」、それとも 「仕様やソースコードを確認するレビューか」 を切り分けることが大切です。
選択肢で、
- ネットワークに接続されたシステムに対して行う
- 攻撃者と同じような手法で確認する
- 脆弱性の有無や影響を実際に検証する
と書かれていたら、ペネトレーションテストを疑います。
直感的な説明
ペネトレーションテストは、建物でいうと 「本当に侵入できてしまうかを試す防犯チェック」 に近いです。
鍵の一覧表を見るだけでは、実際に入れるかどうかは分かりません。そこで、許可された範囲で、入口・窓・裏口などを確認し、実際に侵入できる経路がないかを調べます。
情報システムでも同じです。
ファイアウォール、サーバ、Webアプリケーション、認証設定などに弱点があると、攻撃者に悪用される可能性があります。ペネトレーションテストでは、その弱点が 実際の侵入につながるか を確認します。
定義・仕組み
ペネトレーションテストは、対象システムに対して、許可された範囲で疑似的な攻撃を行うセキュリティテストです。
基本的な流れは、次のように考えると分かりやすいです。
-
対象範囲を決める
どのサーバ、ネットワーク、Webアプリケーションを対象にするかを決めます。 -
情報を収集する
公開情報、ポート、サービス、バージョン情報などを確認します。 -
侵入できる可能性を調べる
既知の脆弱性、設定ミス、認証の弱さなどを確認します。 -
許可された範囲で侵入を試みる
実際に攻撃が成立するか、どこまで影響が広がるかを検証します。 -
結果を報告し、対策につなげる
見つかった問題、影響度、優先すべき対策を整理します。
IPAの情報セキュリティサービス基準適合サービスリストでも、ペネトレーションテストは「侵入試験」として扱われ、脆弱性診断サービスの関連サービスとして整理されています。
IPA:情報セキュリティサービス基準適合サービスリスト
ここで大切なのは、ペネトレーションテストは 攻撃そのものを目的にするものではない という点です。
目的は、攻撃を成功させることではなく、組織が把握していないリスクを見つけ、対策につなげることです。
どんな場面で使う?
ペネトレーションテストは、次のような場面で使われます。
- インターネット公開前のWebシステムを確認する
- 重要なサーバやネットワークの侵入リスクを確認する
- 委託先が構築したシステムの安全性を確認する
- 大きな構成変更やクラウド移行のあとに確認する
- セキュリティ対策が実際に機能するか確認する
SG試験では、特に 「リスク対応として何を確認したいのか」 が問われます。
たとえば、単に「仕様どおりに作られているか」を確認したいなら、レビューやインスペクションが適切です。
一方で、
- 外部から侵入できるか
- 認証を突破される可能性があるか
- 攻撃されたときにどこまで影響が出るか
を確認したいなら、ペネトレーションテストが適切です。
ただし、実施には注意が必要です。
本番環境に対して無計画に行うと、サービス停止やデータ破損につながるおそれがあります。そのため、対象範囲、実施時間、禁止事項、緊急連絡先などを事前に決めておく必要があります。
よくある誤解・混同
ペネトレーションテストは、ほかのテストやレビュー手法と混同されやすいです。
| 用語 | 何をする? | 判断ポイント |
|---|---|---|
| ペネトレーションテスト | 実際に侵入を試みる | 攻撃者視点で侵入可能性を確認する |
| 脆弱性診断 | 脆弱性を洗い出す | ツールやチェック項目で弱点を検出する |
| ウォークスルー | 開発者が説明しながら確認する | エラーの早期発見が目的 |
| ソフトウェアインスペクション | 仕様書やプログラムを人の目で検証する | 実行せずにレビューする |
| リグレッションテスト | 変更後に既存機能が壊れていないか確認する | 変更の影響を確認する |
特に、添付の例題のように、選択肢に 「ネットワークに接続された情報システムに対して、実際に侵入を試みる」 という内容があれば、ペネトレーションテストを選びます。
SG試験でのひっかけポイント
誤解1:脆弱性診断と同じものだと思う
脆弱性診断は、弱点を見つけることが中心です。
ペネトレーションテストは、その弱点が実際に侵入につながるかを検証します。
誤解2:プログラムを人の目で確認することだと思う
人の目で仕様書やプログラムを確認するのは、ソフトウェアインスペクションです。
実際にシステムへ侵入を試みるなら、ペネトレーションテストです。
誤解3:変更後の不具合確認だと思う
変更後に、以前正常だった機能が壊れていないか確認するのは、リグレッションテストです。
侵入の可否を確認するものではありません。
まとめ(試験直前用)
- ペネトレーションテストは、実際に侵入を試みる検査
- 目的は、攻撃者視点で 侵入可能性と影響 を確認すること
- 脆弱性診断は 弱点の洗い出し、ペネトレーションテストは 侵入できるかの検証
- ウォークスルーやインスペクションは、主に レビュー手法
- リグレッションテストは、変更後に 既存機能が壊れていないか を確認するテスト
試験では、「実際に侵入を試みる」ならペネトレーションテスト と判断すると、選択肢を切りやすくなります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- アンチパスバックとは?入退室記録の矛盾を防ぐ仕組み【SG試験】