【保存版】ペネトレーションテストのやり方｜手順書と実施フロー完全解説

「ペネトレーションテストを実施したいが、具体的にどう進めればいいのかわからない」――このような悩みを抱えている企業のセキュリティ担当者は少なくありません。サイバー攻撃が巧妙化する中、疑似攻撃によって自社システムの脆弱性を実証的に検証するペネトレーションテストの重要性は高まっています。この記事では、ペネトレーションテストの基本知識から具体的な実施手順、自社実施と外部委託の判断基準まで、初めて導入する方でも理解できるよう詳しく解説します。

ペネトレーションテストとは？基本知識と目的

ペネトレーションテストの定義

ペネトレーションテスト（侵入テスト）とは、実際の攻撃者と同じ手法を用いてシステムやネットワークへの侵入を試みるセキュリティ検証手法です。「Penetration（侵入）」という言葉が示す通り、許可された範囲内で疑似攻撃を実行し、システムの防御力を実証的に評価します。

IPA（情報処理推進機構）の「ペネトレーションテスト実施ガイドライン」では、「システムやネットワークに対して、実際の攻撃者が行うであろう攻撃手法を用いて侵入を試み、脆弱性や設定不備を発見する検証作業」と定義されています。単なる脆弱性の検出にとどまらず、実際に侵入可能かどうかを実証する点が最大の特徴です。

脆弱性診断との違い

ペネトレーションテストと混同されやすいのが「脆弱性診断」ですが、両者には明確な違いがあります。

• 脆弱性診断：システム全体を網羅的にスキャンし、既知の脆弱性を検出する検査。自動ツールを用いた広範囲の調査が中心
• ペネトレーションテスト：発見した脆弱性を実際に悪用し、侵入可能性を実証する検証。手動による実攻撃シミュレーションが中心

例えば、脆弱性診断で「SQLインジェクションの脆弱性あり」と検出された場合、ペネトレーションテストでは実際にその脆弱性を利用してデータベースへアクセスできるか検証します。このように、**脆弱性診断は「弱点の発見」、ペネトレーションテストは「侵入の実証」**という役割の違いがあります。

実施する3つの目的

ペネトレーションテストを実施する主な目的は以下の3つです。

• リスクの可視化：理論上の脆弱性ではなく、実際に悪用可能な弱点を特定し、具体的なリスクを明確にします
• セキュリティ対策の有効性検証：導入済みのファイアウォールやIDS/IPSなどの防御システムが実際の攻撃に対して機能するか確認します
• インシデント対応力の向上：疑似攻撃を通じて、実際の侵入が発生した際の検知能力や対応体制の課題を明らかにします

特に重要なのは、技術的な脆弱性だけでなく、運用や体制面の弱点も発見できる点です。例えば、セキュリティアラートが適切にエスカレーションされない、インシデント対応手順が実態に合っていないといった組織的な課題も浮き彫りになります。

中小企業に必要な理由

「ペネトレーションテストは大企業向け」という認識は誤りです。むしろ中小企業こそ実施すべき理由があります。

近年、サプライチェーン攻撃と呼ばれる手口が増加しています。これは、セキュリティ対策が比較的手薄な中小企業を攻撃の足がかりとし、取引先の大企業へ侵入する攻撃手法です。実際に、2023年の調査では、中小企業の約40%がサイバー攻撃の標的となった経験があると報告されています。

また、ISMS（ISO27001）やプライバシーマーク取得時、取引先から定期的なセキュリティ検証の実施を求められるケースも増えています。ペネトレーションテストの実施は、取引先への信頼性証明としても有効です。

ペネトレーションテストの実施手順を5ステップで解説

ペネトレーションテストは、以下の5つのステップに沿って実施します。各ステップの目的と具体的な作業内容を理解することで、テスト全体の流れを把握できます。

STEP1：事前準備と範囲決定

ペネトレーションテストの成否は、事前準備の段階でほぼ決まると言われています。この段階で最も重要なのがスコープ（対象範囲）の明確化です。

具体的には以下の項目を決定します。

• 対象システム・ネットワーク：Webサイト、社内ネットワーク、クラウド環境など、どこまでを検証対象とするか
• テスト手法：ブラックボックステスト（情報なし）、ホワイトボックステスト（内部情報あり）、グレーボックステスト（限定情報あり）のいずれを採用するか
• 実施期間・時間帯：業務への影響を考慮した実施スケジュール
• 禁止事項：攻撃してはいけないシステムや、使用してはいけない攻撃手法

また、この段階で関係者への周知と承認取得も必須です。経営層、システム管理者、場合によっては取引先やクラウドサービス提供者への事前通知も必要になります。特にクラウド環境では、事前通知なしのペネトレーションテストが利用規約違反となるケースもあるため注意が必要です。

STEP2：情報収集フェーズ

情報収集は、実際の攻撃者が最初に行う偵察活動を模擬します。公開情報から攻撃の糸口を見つけることが目的です。

具体的な情報収集の手法は以下の通りです。

• 公開情報の調査：企業のWebサイト、SNS、求人情報、プレスリリースなどから使用技術やシステム構成に関する情報を収集
• ドメイン・IPアドレス調査：WHOISデータベースやDNS情報から、管理者情報やサブドメインを特定
• ポートスキャン：対象システムで稼働しているサービスやバージョン情報を調査
• ソーシャルエンジニアリング情報：従業員名簿や組織図など、人的攻撃に利用できる情報を収集

この段階では実際の攻撃は行わず、あくまで攻撃計画の立案に必要な情報を集めることに専念します。収集した情報は次のフェーズで脆弱性分析に活用されます。

STEP3：脆弱性分析

情報収集で得た情報をもとに、実際に攻撃可能な脆弱性を特定します。このフェーズでは、自動ツールと手動調査を組み合わせて分析を行います。

主な分析対象は以下の通りです。

• Webアプリケーションの脆弱性：SQLインジェクション、クロスサイトスクリプティング（XSS）、認証・認可の不備など
• ネットワーク機器の脆弱性：古いファームウェア、デフォルト設定の残存、不要なサービスの稼働など
• 設定不備：弱いパスワード、過剰な権限設定、暗号化の不備など
• 既知の脆弱性：CVE（共通脆弱性識別子）データベースに登録されている脆弱性の存在

重要なのは、単に脆弱性を列挙するのではなく、実際に悪用可能かどうかを評価する点です。理論上は脆弱性があっても、他のセキュリティ対策により実際には悪用できないケースもあります。次のステップで実証すべき脆弱性の優先順位をつけることが、このフェーズの重要な役割です。

STEP4：侵入実行と権限昇格

特定した脆弱性を実際に悪用し、システムへの侵入と内部での権限昇格を試みるフェーズです。ペネトレーションテストの核心部分であり、最も慎重な作業が求められます。

主な検証内容は以下の通りです。

• 初期侵入：Webアプリケーションの脆弱性を利用したコマンド実行、リモートコード実行の試行
• 権限昇格：一般ユーザー権限から管理者権限への昇格を試みる
• 横展開：侵入したシステムから他のシステムへの移動（ラテラルムーブメント）
• データ窃取の実証：重要情報へのアクセス可能性の検証（実際のデータ窃取は行わない）

このフェーズでは、業務への影響を最小限に抑えることが最優先です。データの改ざんや削除は行わず、あくまで「アクセス可能である」ことの証明にとどめます。また、予期せぬシステム停止に備え、即座にテストを中断できる体制を整えておくことが重要です。

STEP5：報告書作成と改善提案

テスト実施後、結果を整理し実行可能な改善策を含む報告書を作成します。この報告書が、実際のセキュリティ向上につながる重要な成果物となります。

報告書には以下の内容を含めます。

• エグゼクティブサマリー：経営層向けの要約。リスクの大きさとビジネスへの影響を分かりやすく説明
• 発見事項の詳細：特定した脆弱性の詳細、悪用手順、影響範囲
• リスク評価：各脆弱性の危険度を「緊急」「高」「中」「低」で分類
• 改善提案：具体的な対策方法と優先順位、実施期限の目安
• 再テスト計画：対策実施後の効果検証スケジュール

優れた報告書の条件は、技術者以外でも理解できる説明と具体的な対策手順が示されていることです。「脆弱性が見つかった」という事実だけでなく、「どう対処すべきか」が明確でなければ、実際のセキュリティ向上にはつながりません。

ペネトレーションテスト実施時の3つの重要ポイント

テスト範囲の明確化

ペネトレーションテストで最もトラブルが起きやすいのが、テスト範囲の認識齟齬です。実施側と依頼側で「どこまでがテスト対象か」の理解が異なると、予期せぬシステム停止や法的問題につながる恐れがあります。

範囲決定時には以下の点を明文化します。

• 対象システムの具体的な指定：IPアドレス範囲、ドメイン名、特定のURLなどを明記
• 対象外システムの明確化：本番環境と開発環境の区別、取引先や第三者のシステムの除外
• 攻撃手法の制限：DoS攻撃の禁止、ソーシャルエンジニアリングの可否など
• 時間帯の制限：業務時間内・時間外の区別、ピーク時の回避

特に注意が必要なのが、クラウド環境やSaaSを利用している場合です。これらのサービスでは、利用規約でペネトレーションテストを制限している場合があります。AWS、Microsoft Azure、Google Cloudなどの主要クラウドサービスでは事前申請が必要または推奨されているため、必ず確認してください。

業務影響を最小化する方法

ペネトレーションテストは、システムに一定の負荷をかけるため、業務への影響を考慮した計画が不可欠です。

業務影響を最小化するための実践的な方法は以下の通りです。

• 実施時間帯の調整：業務時間外や土日祝日、ピーク時を避けた時間帯での実施
• 段階的な実施：一度に全システムをテストせず、影響度の低いシステムから順次実施
• 事前通知の徹底：システム管理者、カスタマーサポート、場合によってはエンドユーザーへの事前周知
• ロールバック計画：予期せぬ障害発生時の復旧手順を事前に準備
• 監視体制の強化：テスト実施中はシステム監視を強化し、異常を即座に検知できる体制を整備

また、本番環境でのテストが困難な場合は、本番環境と同等の検証環境（ステージング環境）を用意してテストを実施する方法もあります。ただし、検証環境と本番環境で設定が異なる場合、発見できない脆弱性が存在する可能性がある点に注意が必要です。

法的リスクへの対処

ペネトレーションテストは、実際の攻撃手法を用いるため、不正アクセス禁止法に抵触するリスクがあります。適切な対処を怠ると、善意のセキュリティ検証が法的問題に発展する恐れがあります。

法的リスクを回避するための必須対策は以下の通りです。

• 書面による事前承認：システムの所有者・管理者から明確な許可を書面で取得。実施範囲、期間、手法を明記
• 第三者システムの確認：クラウドサービス、ホスティングサービス、取引先のシステムが対象に含まれる場合は、それぞれから許可を取得
• 実施者の身元証明：テスト実施者の身元を明確にし、連絡先を共有
• 証拠の保全：実施内容のログを完全に記録し、事後検証可能な状態を維持

特に外部委託する場合は、契約書に責任範囲を明記することが重要です。「委託先の行為により発生した法的問題の責任は誰が負うのか」「予期せぬ損害が発生した場合の補償範囲」などを事前に取り決めておく必要があります。

また、ペネトレーションテストの実施には、法務部門の事前確認を得ることをお勧めします。特に上場企業や金融機関など、規制の厳しい業界では必須と考えてください。

自社実施vs外部委託の判断基準

自社実施のメリット・デメリット

ペネトレーションテストを自社で実施するか、外部の専門業者に委託するかは、企業規模や技術力、予算などを総合的に判断して決定します。

自社実施のメリット

• コスト削減：外部委託費用が不要（ただしツールや人件費は必要）
• 内部知識の活用：システム構成や業務フローを熟知しているため効率的
• 機密性の確保：外部に情報を開示せずに済む
• 継続的な実施：必要なタイミングで柔軟に実施可能

自社実施のデメリット

• 専門技術の不足：最新の攻撃手法や専門ツールの知識が不足しがち
• 客観性の欠如：内部者だからこそ見落とす「当たり前」の脆弱性が存在
• 人的リソースの負担：通常業務と並行での実施は現実的に困難
• 法的リスクの高まり：手続きの不備により不正アクセス禁止法に抵触する恐れ

一般的に、高度なセキュリティ人材を抱える大企業や、セキュリティベンダー自身を除き、完全な自社実施は現実的ではないと言われています。

外部委託が適している3つのケース

以下のいずれかに該当する場合、外部委託が適していると考えられます。

1. セキュリティ専門人材が不足している場合

ペネトレーションテストには、ネットワーク、Webアプリケーション、OS、データベースなど幅広い専門知識が求められます。これらの技術に精通した人材を社内で確保・育成するには、相当なコストと時間が必要です。特に中小企業では、専任のセキュリティエンジニアを雇用することは現実的ではありません。

2. 客観的な評価が必要な場合

内部監査や第三者認証取得、取引先からの要求などで客観的な評価が求められる場合、外部の専門業者による検証が必要です。自社実施では「お手盛り」と見なされ、評価の信頼性が疑われる恐れがあります。ISMS認証やプライバシーマーク取得時には、外部による検証が事実上必須となります。

3. 最新の脅威に対応したい場合

サイバー攻撃の手法は日々進化しています。専門業者は最新の攻撃トレンドや脆弱性情報を常に追跡し、それを検証に反映します。自社で最新情報をキャッチアップし続けることは、技術的にも時間的にも困難です。

委託先選定の4つのチェックポイント

外部委託を決定した場合、適切な業者を選定することが重要です。以下の4つの観点から評価してください。

1. 認証・資格の保有

• CREST認証：ペネトレーションテスト業者の国際的な認証制度
• CEH（認定ホワイトハッカー）：実施者個人の技術認定資格
• ISMS（ISO27001）：業者自身の情報セキュリティ管理体制
• プライバシーマーク：個人情報の適切な取り扱い

これらの認証は、一定水準以上の技術力と信頼性を担保する指標となります。

2. 実績と専門性

• 業界実績：自社と同じ業界（金融、医療、製造など）での実績があるか
• システム種別：Webアプリケーション、ネットワーク、IoTなど、対象システムに応じた専門性
• 実施件数：年間実施件数や累計実績（多いほど経験値が高い）
• 事例公開：具体的な成功事例や課題解決実績が公開されているか

3. サポート体制

• 報告書の品質：技術者以外でも理解できる説明があるか
• アフターサポート：対策実施後の再テストや継続サポートの有無
• 緊急時対応：テスト中の障害発生時の連絡体制
• コンサルティング：単なる検査だけでなく、セキュリティ体制全体の改善提案があるか

4. 費用と契約条件

• 料金体系の明確性：見積もりに含まれる内容と追加費用の発生条件
• 契約範囲：テスト範囲、実施期間、報告書の納品時期が明確か
• 守秘義務：NDA（秘密保持契約）の締結と遵守体制
• 責任範囲：予期せぬ障害発生時の責任分担が明確か

これらの観点から複数の業者を比較検討し、単なる価格だけでなく、総合的な信頼性と技術力で選定することが重要です。最も安い業者が必ずしも最適とは限りません。むしろ、自社の課題を理解し、適切な提案ができる業者を選ぶべきです。

まとめ

この記事では、ペネトレーションテストの実施方法について、基本知識から具体的な手順、実施時の注意点まで詳しく解説しました。重要なポイントは以下の3つです。

• 5つのステップに沿った計画的な実施：事前準備、情報収集、脆弱性分析、侵入実行、報告書作成という流れを理解し、各段階で適切な作業を行うことで効果的な検証が可能になります
• 法的リスクへの適切な対処：書面による事前承認、第三者システムの確認、実施範囲の明確化など、不正アクセス禁止法に抵触しないための対策が必須です
• 外部委託の現実的な検討：専門技術の不足や客観性の確保を考えると、中小企業では外部の専門業者への委託が現実的な選択肢となります

ペネトレーションテストは、単なる脆弱性の発見だけでなく、実際の侵入可能性を実証することで組織のセキュリティリスクを可視化します。自社のシステム規模や技術力に応じて、適切な実施方法を選択してください。まずは、信頼できる専門業者への相談から始めることをお勧めします。