侵入テストの方法論にはどのような種類がありますか?
侵入テストの方法論には、社内と業界標準という2つの主要なタイプがありますが、これらにはほとんど無限のバリエーションがあります。 社内の方法論とは、従業員が使用するために会社が開発したものであり、通常はテストを実行するものです。 一方、業界標準の方法論は、広く認められ承認されている標準的な方法論を作成しようとして、他の企業が使用するために主要なセキュリティ組織によって開発されたものです。 両方のタイプの侵入テスト方法論が効果的である可能性があり、特定の侵入テストに最適な方法は通常、テストを実行する人に大きく依存します。
侵入テスト方法論は、コンピューターシステムまたはネットワークで侵入テストを実行するために使用される一連のルールまたはガイドラインです。 このタイプのテストは通常、ハッカーがシステムに攻撃を仕掛けるために使用できるシステムに潜在的な弱点があるかどうかを判断するために行われます。 この初期分析が完了すると、テスターは通常、システムに対してシミュレートされた攻撃を開始し、これらの弱点がどれだけ脆弱かを判断します。 この一連の評価とテストの実施方法を決定し、手順を文書化するためのガイドラインをテスターに提供するために、侵入テスト方法がよく使用されます。
最も一般的なタイプの侵入テスト方法論の1つは、社内の方法論です。 これは、システムで侵入テストを実行している従業員が使用するために会社が作成したドキュメントです。 社内侵入テストの方法論は、システムのテストを行うために誰かを雇った会社によって、またはそれらをテストするために他のビジネスにサービスを雇う会社によって準備することができます。 このタイプの方法論は、一部のテスターが好む場合があります。これにより、クライアントがテスターに提供した方法論を使用して、クライアントがテストに関して苦情を申し立てることができるようになります。
一方、業界標準の侵入テスト方法論は、他のテスターが使用するためにコンピューターセキュリティ会社によって作成されたドキュメントです。 このタイプの方法論は通常、それを作成した会社に雇用されていないテスターによる使用を目的としています。 このタイプの方法論の利点の1つは、テスターが自分の能力を学び、実証できる単一の統一された方法をより簡単に指すことができることです。 ただし、業界標準の侵入テスト方法論の欠点は、企業がそこに設定されているすべての方法を好まない可能性があり、どの方法が本当に業界標準として機能するかを判断するのが難しい場合があることです。