こんにちは、こつこつ勉強するこつべんです。
このブログを見て頂き、ありがとうございます。

今日は、紹介された書籍の内容からキーワードと思しき言葉や
興味を引く箇所を挙げながら読んでいきます。

第一章では、まず、ペネトレーションテストと脆弱性診断との違いが
出てきます。

どうも、脆弱性診断とは、脆弱性を全部ピックアップする、ことが
目的で実施する。
ペネトレーションテストは、脅威つまり被害が出そうなファイルとか
へのアクセス経路を見つける、ことが目的で実施する。
と読み取りました。
また、このあたりの定義については、この先も気にしておきます。

ペネトレーションテストでは、お客様のシステムへの侵入者等と
その際のシナリオを定義するとありますので、どうやるのかを
読み進んで考えていきます。

次に、ペネトレーションテストとレッドチーム演習との違いが
出てきます。
情報システムへ侵入などの模擬攻撃を行うレッドチームと、
それをさせじと守るブルーチームの分かれて演習を行う際の
名称のようです。

目的としては、ブルーチームが作るセキュリティ機能を改善する
ことにあるとのことです。
レッドチームはセキュリティシステムに検知されないように
情報システムへアクセスして活動して、侵入経路などを
見つけるようです。

最後に、テスト方式の違いとして、ブラックボックステスト、
グレーボックステスト、ホワイトボックステストの説明があります。

ペネトレーションテストにもこれらの３種類があり、テスト開始前に
入手する情報量に差があります。
情報量によりテスト期間が長くなったり、実際の攻撃者が持ちえない
情報を持つために実際の攻撃とは結果がことなる場合がでる可能性が
あるとのことです。

ここまでが、ペネトレーションテストの紹介だったと思います。

次の第二章では、情報システムの攻撃者が使うツールの紹介に
なります。

ここまで、お読みいただき、ありがとうございます。
今後とも、どうぞよろしくお願いします。