執筆：吉成 大知、井蛙 官兵衛

　ITエンジニアの方であれば、「ペネトレーションテスト（Penetration Test）」という言葉を何度か耳にしたことがあるだろう。この言葉を英和辞典で調べると、「貫通試験」などと書かれている。

　バイクが好きな方であれば、ヘルメットの安全性を担保するSNELL規格［注1］の試験項目の1つに「貫通試験」というものがあるのをご存じだろう。この試験は、先のとがったストライカというものを3メートルの高さからヘルメットに向けて実際に落とし、ストライカの先端がヘルメットをかぶる人頭模型に接触しなければ規格的に安全ということを調査するためのものである。バイクにおいては、このような試験を通して、設計上問題ないといわれたものが、実際の事故を想定したテストにおいても問題ないという結果を出さなければならない。

　同様に、ITの世界でいうペネトレーションテストとは、システムのセキュリティが有効に機能しているかどうかを実際に試験し、客観的な立場で調査するシステムテストのことである。このテストは情報システムに脆弱性があるかどうかを発見する手段の1つであり、安全性を向上させる、もしくは確保させる手段の1つでもある。ペネトレーションテストがその他の安全対策と異なる点は、犯罪者がシステムに攻撃するのと同様の手法でチェックするところだ（図1）。実際に情報システムへの侵入を試みるところから「疑似侵入テスト」「侵入実験」とも呼ばれる。

図1 ペネトレーションテストの概要 多角的な攻撃を行うことで安全性を診断する

　ペネトレーションテストは、1990年代後半に米国で普及した。当時米国で普及した背景には大きく2つの理由がある。1つめの理由は、企業がインターネットのリスクを理解していなかったこと。1990年代さまざまな企業がインターネットに接続し始めた黎明期、当時はまだインターネットに接続するリスクやその情報はまだ十分に浸透していなかった。そのため、想像もしなかったような情報犯罪に巻き込まれることになった。

　2つめの理由は情報犯罪とその情報犯罪に対するノウハウをもった人材が現れたこと。1990年代は、軍隊に従事していた軍人が退役したことによって、軍で研究されていた技術をもった人が民間に移行した。

　また、ペネトレーションテストに触れる事柄が、"The Day After...in Cyberspace II"などの文献から読み取れる。これには1996年3月にDARPA（米国国防省高等研究計画局）がランド研究所に机上演習を依頼したと記されている。また、1997年6月に「エリジブルレシーバー（Eligible Receiver）」という実験をNSA（国家安全保障局）が行い、送電システムに入り込み大規模な停電を引き起こすことが可能であるという報告があった。

　日本では2002年に長野県が「市町村ネットワークの安全調査」として実施した結果を公表し、実施者であるEjovi Nuwereから「利用者側の環境に改善の余地がある」と指摘されたことは有名なエピソードである。

---

[注1]SNELL規格
アメリカのスネル記念財団が認定するヘルメットの安全規格。約5年ごとに規格の見直しが行われる。