アプリケーションを包括的に守るフレームワーク、「多層的ペンテスト」とは？

　昨今、アプリケーションセキュリティにおいては、ペネトレーションテスト（ペンテスト）が基本的チェック項目として定着しつつある。ペンテストとは、実際の攻撃者の手口を模擬し、システムやインフラのセキュリティ水準を評価する手法だ。しかし、ペンテストは万能策ではない。「ペンテスト実行時と本番環境の差異」「アプリケーション版本の変更」「システムやサーバの設定不備」「ゼロデイ脆弱性や隣接システムを起点とした権限昇格攻撃」などにより、アプリケーションのリリース後もシステムはリスクにさらされ続ける。

　そこで注目したいのが、「多層的ペンテスト」のアプローチだ。これは複数レイヤーの観点や手段を組み合わせ、相互に補完させるもので、特にレジリエンスの強化および視点の拡大に注力する。具体的には、レジリエンスの強化はレッドチーミング、視点の拡大はバグバウンティによって実現する。

　そして、ここにDevSecOpsを統合することで、多層的ペンテストのフレームワークが完成する。本資料では、ペンテストの基本と概要、導入の際のポイント、多層的ペンテストの実現方法などについて解説している。ぜひ参考にしてほしい。