ペネトレーションテストに関して過去問(H27FE春午前問41)では、「コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法」と述べられている。
情報セキュリティスペシャリスト試験を目指す女性SE

ペネトレーションテストと脆弱性診断は同じですか?




脆弱性診断の一部として、ペネトレーションテストがあると考えてください。ペネトレーションテストは、実際に侵入してみるものですが、侵入せずに診断をすることができます。たとえば、OSのバージョンや使用している暗号方式を確認することで、脆弱性が無いかを評価できます。

以下の過去問を見てみましょう。
問50 ペネトレーションテストの主目的はどれか。
ア 使用している暗号方式の強度の確認
イ 対象プログラムの様々な入力に対する出力結果と仕様上の出力との一致の確認
ウ ファイアウォールが単位時間当たりに処理できるセッション数の確認
エ ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無の確認
(H19初級シスアド秋AM)
スラムダンクで「ペネトレイト」の言葉が説明されていた。バスケットでも使われる言葉で、(ドリブルなどで中に)「侵入する」こと。
ペネトレーションテストとは、侵入テストと考えればよいだろう。
正解はエだ。

H23SC春午後1-4に、ペネトレーションテストの例が述べられている。
〔ペネトレーションテストによる現状確認〕
他社のオークションサイトで、会員情報の流出事件が起きたことから、R社の経営陣はK課長にSサイトのセキュリティ対策を確認するように指示した。K課長は現状のセキュリティ対策の有効性を確認するために、セキュリティ専門会社であるW社に、インターネット及びN社のオフィスからのペネトレーションテスト(以下、Pテストという)を依頼した。表1はW社が報告したPテストの結果である。

1 Pテストの結果

項番

問題点

V-1

Sサイトのログインページで、Pテスト用の会員IDによるログインが何度も失敗したにもかかわらずアカウントがロックされなかった。

V-2

Sサイトからいったんログアウトした後に、再びログインせずに、URLを直接指定することでSサイトの会員個人の専用情報ページを閲覧できた。

V-3

WebサーバのHTTPサービスの脆弱性を突いて、Webサーバに侵入できた。

V-4

V-3の侵入方法によってWebサーバに侵入後、Webサーバ内のファイルをFTPR社の外部に送信できた。

V-5

CNT-MGRのパスワードを推測して、WebサーバへのFTP接続を何度か試行し、最終的に成功した。

V-6

Webサーバへのコンテンツファイル転送時の通信を盗聴して、CNT-MGRのパスワードを窃取できた。

V-7

CNT-MGRWebサーバにログインした後、Webサーバ内のDB接続ツールを実行し、DBMS標準アカウントの初期パスワードでDBに接続できた。