執筆：吉成 大知、井蛙 官兵衛

　ペネトレーションテストの計画を策定するに当たって、まずはどこからペネトレーション（侵入）を実施するかを明確にしなければならない。なぜなら、守るべき対象となるシステムの防御体制が、意図したとおりに機能しているかを判断する必要があるからだ。これは設計段階で想定された機能が有効に機能しているかというチェックになる。以下は、どこからの脅威であるかを決定する分類のある一例である。


　Aは、外部者による脅威を想定するケースである。インターネット経由で対象システムにアクセスしてくる不特定多数の攻撃者からの、対象システムの防御体制を検証する。日本のシステム担当者は、まずこの点を確認することが多い。Bは、内部の人間、もしくは、無線LANなどによって内部ネットワークに接続された場合の脅威を想定している。社内LANや内部ネットワークから守るべき対象システムの防御体制を検証する。Cは、AやBから、さらに進んだ脅威を想定するケースである。たとえばAのパターンにおいて、もし何かしらの理由で、第一の防御体制（F/Wなど）が無効化されて、内部サーバの1台が乗っ取られ、さらに他の内部サーバなどに攻撃を試みられていたり、外部への攻撃を開始された場合の防御体制を検証する。強固で堅牢さを必要とされる重要なシステムには、このように二重、三重のペネトレーションテストが実施される。


　次に「どのような脆弱性が存在し」「その脆弱性によって損失を発生させる事態がどのように発生するのか」に合わせて、ペネトレーションテストの実施方法を検討する。以下は、攻撃の深度（実施方法）による分類例である。


　a.は、対象システムにおいてシステム管理者が意図していない脆弱性が存在しないかを、ペネトレーションテストで調査、確認することを目的とする場合である。たとえば、公開を意図していないサービスが稼働していないか、脆弱性のあるサービスが稼働していないか、あるいは、認証サービスにおいて、脆弱なパスワードが存在していないか、という視点でペネトレーションテストを実施する。この場合、脆弱性の有無を確認するのが目的であるから、脆弱性を発見したならそのサービスに対する調査は一旦終了となる。ペネトレーションテスト実施後の「対策」にて、その脆弱性を潰すことが最終的な目的だからである。ゆえに、その脆弱性を突いて、さらなる試験を試行したりしない。該当する脆弱性が潰せれば、さらなる侵入はありえないとの考え方に基づくからだ。

　一方のb.は、狭義でのペネトレーションテストに相当する。つまり、ある脆弱性が発見されると、その脆弱性を攻撃して、さらなる侵入を試行する。これにより、実際の攻撃者にどこまで侵入される可能性があるかという、具体的な「危機」を可視化することができる。システムに詳しい人にすれば、やや冗長なテストとなる場合もあるが、経営層など組織の上位者へのアピール度は格段に増す。また、発見された脆弱性を本当に潰す必要があるのかなど対策の方向性を決定する際にも、有用な情報を取得することができる。

　また、場合によってはDoS（Denial of Service）攻撃を実施するケースもある。これはDoS攻撃に対し、どの程度まで耐えうるのかをを調査するためである。DoS攻撃では、対象システムへの「侵入」を目的としない。単に正当なユーザーに正常なサービスを提供できなくすることが目的となる。規模の大きなDoS攻撃（DDoSなど）は抜本的な対策が難しく、パフォーマンンスアップを行うか一時的に回避するかなどと言った方法しかない。bの手法を用いることによって、どのレベルのDoS攻撃であれば、どの程度の可用性が確保できるのかを調査し、それを経営者へ説明することも可能となる。