Penetration-testing-vulnerability-assessment
侵入テスト対。 脆弱性
一般的に、これらの2つの用語、つまり侵入テストと脆弱性評価は、誤解や宣伝のせいで、多くの人が同じ意味で使用しています。 しかし、両方の用語は、目的と他の手段の点で互いに異なっています。 ただし、違いを説明する前に、両方の用語を1つずつ理解してみましょう。
侵入テスト
侵入テストは、情報セキュリティを破り、貴重なデータをハッキングしたり、組織の通常の機能を妨害したりすることを目的とした外部または内部サイバー攻撃者の行動を再現します。 そのため、高度なツールとテクニックを使用して、侵入テスト( ethical hacker )が重要なシステムを制御し、機密データへのアクセスを取得する努力をします。
脆弱性評価
一方、脆弱性評価とは、特定の環境でセキュリティの脆弱性を特定(検出)および測定(スキャン)する手法です。 これは、情報セキュリティの位置の包括的な評価です(結果分析)。 さらに、潜在的な弱点を特定し、それらの弱点を除去するか、リスクレベルを下回って低減するための適切な緩和策(修復)を提供します。
次の図は、脆弱性評価をまとめたものです-
次の表は、侵入テストと脆弱性評価の基本的な違いを示しています-
| Penetration Testing | Vulnerability Assessments |
|---|---|
| Determines the scope of an attack. | Makes a directory of assets and resources in a given system. |
| Tests sensitive data collection. | Discovers the potential threats to each resource. |
| Gathers targeted information and/or inspect the system. | Allocates quantifiable value and significance to the available resources. |
| Cleans up the system and gives final report. | Attempts to mitigate or eliminate the potential vulnerabilities of valuable resources. |
| It is non-intrusive, documentation and environmental review and analysis. | Comprehensive analysis and through review of the target system and its environment. |
| It is ideal for physical environments and network architecture. | It is ideal for lab environments. |
| It is meant for critical real-time systems. | It is meant for non-critical systems. |
どのオプションが理想的ですか?
どちらの方法も機能とアプローチが異なるため、それぞれのシステムのセキュリティの位置に依存します。 ただし、侵入テストと脆弱性評価の基本的な違いにより、2番目の手法は最初の手法よりも有益です。
脆弱性評価では、弱点を特定し、それらを修正するソリューションを提供します。 一方、侵入テストは、「だれかがシステムのセキュリティを破ることができますか?
さらに、脆弱性評価はセキュリティシステムの改善を試み、より成熟した統合セキュリティプログラムを開発します。 一方、侵入テストでは、セキュリティプログラムの有効性の画像のみが提供されます。
ここで見てきたように、脆弱性評価は侵入テストと比較してより有益であり、より良い結果をもたらします。 しかし、専門家は、セキュリティ管理システムの一部として、完全な安全な環境を確保するために両方の技術を定期的に実行する必要があることを示唆しています。
