脆弱性検査とペネトレーションテストの違いを整理。機械的チェックと擬似攻撃の役割を理解し、SG試験での判断ポイントを解説します。

sg sg-security-management

まず結論

  • 脆弱性検査=機械的に弱点を見つける
  • ペネトレーションテスト=攻撃者の視点で侵入できるか試す
  • SG試験では「自動か擬似攻撃か」で切る

直感的な説明

セキュリティの弱点を見つける方法は2つあります。

👉 機械でチェックするか
👉 人が攻撃してみるか

イメージ

  • 脆弱性検査:健康診断
  • ペネトレーションテスト:実際に戦ってみる

👉 チェック vs 実戦

定義・仕組み

脆弱性検査(Vulnerability Scan)

  • ツールを使って自動的にチェック
  • 既知の脆弱性を検出

👉 特徴

  • 自動
  • 網羅的
  • 定期的に実施

ペネトレーションテスト(Penetration Test)

  • 攻撃者の視点で侵入を試みる
  • 実際に攻撃できるかを検証

👉 特徴

  • 手動(人が実施)
  • シナリオベース
  • 実践的

一発で切る比較(最重要)

項目 脆弱性検査 ペネトレーションテスト
方法 自動ツール 人による擬似攻撃
目的 弱点を見つける 攻撃可能か確認
範囲 網羅的 重点的
精度 網羅性重視 現実性重視

どんな場面で使う?

正しい使い方

  • 検査:定期的なチェック
  • ペンテスト:重要システムの検証

よくある誤り

  • ❌ 検査で侵入可能性を確認する
  • ❌ ペンテストで全体を網羅する

👉 役割が違う

よくある誤解・混同(ここが試験)

① 最重要ひっかけ

❌ 脆弱性検査で攻撃を行う
⭕ 検査はチェックのみ

❌ ペネトレーションテストは自動
⭕ 人が攻撃を試みる

② CVSSとの違い

  • 検査・ペンテスト:発見
  • CVSS:評価

👉 発見 vs 評価

③ JVNとの違い

  • JVN:情報提供
  • 検査・ペンテスト:実施

👉 情報 vs 実務

まとめ(試験直前用)

  • 脆弱性検査=自動チェック
  • ペネトレーションテスト=擬似攻撃

切り分けルール(最重要)

  • 「ツールで検出」→ 脆弱性検査
  • 「攻撃して確認」→ ペネトレーションテスト

👉 「自動か人か」で切る

最短判断フレーム

  1. 攻撃している? → ペンテスト
  2. 検出しているだけ? → 検査

👉 これで一発

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る