英国におけるペネトレーションテスト - 2026年に期待されること

英国でのペネトレーションテストサービスへの検索は2023年から2025年にかけて35%以上増加しました。これはランサムウェアインシデント、規制義務の厳格化、そしてサイバー保険ポリシーを発行する前に積極的なセキュリティテストの証拠を要求する保険業者の波が重なった結果です。この需要にもかかわらず、ペネトレーションテストとは実際に何なのか、脆弱性スキャンとどう違うのか、良いテストにいくらかかるのかについて、広く混乱が続いています。

このガイドでは全体像を網羅します：ペネトレーションテストとは何か、そして何でないのか、主要な種類、プロセスの進め方、アウトプットに何が含まれるべきか、英国で重要な資格認定、そして2026年のリアルなコスト範囲を説明します。

要点まとめ

• ペネトレーションテストは、実際の攻撃者と同じ技術を使用する認可されたテスターによる模擬攻撃です。自動化されており、脆弱性を連鎖させたり実際の影響を評価したりできない脆弱性スキャンとは異なります。
• テスターは個々の問題を列挙するだけでなく、複数の脆弱性を連鎖させて実際の影響を実証します。これがこの手法を際立たせ、価値あるものにしています。
• 英国では、PCI DSS が年次ペネトレーションテストを義務付けており、UK GDPR 第32条、ISO 27001、NCSC ガイダンスのいずれも、適切な技術的管理策の証拠として定期的なペネトレーションテストを推奨しています。
• CREST 認定プロバイダーについては、CRT（Webアプリ）、CCT App（Webアプリケーション）、CCT Inf（インフラ）の資格を確認してください。公共部門の業務には CHECK スキームが適用されます。

ペネトレーションテストとは何か（そして何でないか）

ペネトレーションテストとは、定義されたターゲットに対する構造化された、認可された攻撃シミュレーションです。テスターは悪意ある攻撃者と同じツール、技術、思考プロセスを使用しますが、合意されたスコープと交戦規定の範囲内で活動します。目標は脆弱性を特定し、実際の攻撃者がそれを行う前に現実世界での悪用可能性を実証することです。

脆弱性スキャンはペネトレーションテストではありません。自動スキャナーは既知の脆弱性のデータベースに対してシステムを照会し、発見事項のリストを作成します。高速で再現性がありますが、コンテキストを推論したり、発見事項を連鎖させたり、ビジネスロジックを評価したり、発見したものの実際の影響を実証したりすることはできません。多くの組織が両者を混同しており、一部のベンダーは意図的に境界線を曖昧にしています。サプライヤーが「ペネトレーションテスト」の見積もりを提示し、手動分析なしに完全にツールから実行される場合、プレミアム価格で脆弱性スキャンを購入したことになります。

この違いは実際に重要です。脆弱性スキャンは、アプリケーションにアカウントロックアウトなしのログインフォームがあることを示す可能性があります。ペネトレーションテストはさらに踏み込みます：テスターは、ユーザー名列挙の弱点と予測可能なセッショントークンとともにこれを悪用し、完全なアカウント乗っ取りチェーンを実証しようとします。これがリスクを列挙することと証明することの違いです。

ペネトレーションテストの種類

知識レベル別。 テストは通常、テスターに最初から提供される情報量によって、ブラックボックス、グレーボックス、ホワイトボックスと説明されます：

• ブラックボックス：テスターはターゲットに関する事前知識なしで開始し、独自の偵察を行った外部攻撃者をシミュレートします。現実世界の攻撃シナリオに最も近いですが、テスターがエンゲージメント時間を（アプリケーションのマッピングなど、提供できるような）タスクに費やすため、時間的に非効率になる可能性があります。
• グレーボックス：テスターにはある程度の情報（通常はユーザー認証情報とドキュメント）が提供されますが、ソースコードや完全なアーキテクチャ図は提供されません。リアリズムと効率のバランスが取れているため、Webアプリケーションテストで最も一般的な選択肢です。
• ホワイトボックス：テスターはソースコード、アーキテクチャドキュメント、インフラ図を含む完全なアクセスを持ちます。包括的な評価とコンプライアンス主導のコードレビューに使用されます。最も高い割合の脆弱性を発見しますが、チームからの最も多くの準備が必要です。

ターゲットタイプ別。 一般的なカテゴリには次のものが含まれます：

• ネットワークペネトレーションテスト：外部または内部インフラ、ファイアウォールルール、VPN設定、横移動の機会
• Webアプリケーションペネトレーションテスト：OWASP Top 10 以降、認証、セッション管理、入力検証、ビジネスロジックを含む
• APIペネトレーションテスト：RESTおよびGraphQLエンドポイント、認証バイパス、マスアサインメント、レート制限、データ露出
• モバイルアプリケーションペネトレーションテスト：AndroidおよびiOSアプリ、安全でないデータ保存、証明書ピニングバイパス、モバイル層を介して露出したバックエンドAPIの問題
• ソーシャルエンジニアリング：フィッシングシミュレーション、プリテキスティング、ヴィッシング（音声フィッシング）による人的層のテスト
• 物理的ペネトレーションテスト：テールゲーティング、RFIDクローニング、アクセス制御バイパス、物理施設のターゲティング

英国のほとんどの企業はWebアプリケーションまたはネットワークテストから始め、セキュリティプログラムが成熟するにつれてスコープを拡大します。

ペネトレーションテストのプロセス

厳格なペネトレーションテストは定義された方法論に従います。CREST と PTES（Penetration Testing Execution Standard）フレームワークはどちらも類似したシーケンスを説明しています：

スコーピングと交戦規定

テストが始まる前に、あなたとプロバイダーは、ターゲット、テストタイプ、テストウィンドウ（一部の組織は本番環境への影響を避けるために時間外テストを要求します）、テスト中に重大な発見事項が発見された場合のエスカレーション手順、そして明示的にスコープ外のものについて合意します。これを書面で取得してください。認可書は両当事者を保護します。

偵察

テスターは受動的手段（オープンソースインテリジェンス、証明書透明性ログ、技術スタックを明らかにする求人情報、侵害データベースに漏洩した認証情報）と能動的手段（DNS列挙、ポートスキャン、サービスフィンガープリンティング）を通じてターゲットに関する情報を収集します。ブラックボックステストでは、このフェーズがエンゲージメント時間の大きな部分を占める可能性があります。

攻撃実行

テスターは特定された脆弱性を悪用して初期アクセスを得るか、影響を実証しようとします。ここで方法論がスキャンと異なります：熟練したテスターは複数のルートを試み、一つの経路がブロックされると適応し、個別には低重大度の問題の組み合わせを探して高影響の結果を生み出します。

ポスト攻撃と脆弱性連鎖

これはほとんどのベンダーマーケティングが無視するフェーズです。初期アクセスを取得した後、攻撃者は実際に何ができるのでしょうか？Webアプリケーションを評価しているテスターは、XSS脆弱性をCSRF弱点と予測可能なセッション識別子と連鎖させて、完全なアカウント乗っ取りを実証する可能性があります。インフラに対しては、ポスト攻撃には権限昇格、横移動、初期足がかりからアクセスできるデータやシステムの特定が含まれます。

連鎖はリスクを再フレーム化するため重要です。CVSS 5.5（中程度）と評価された個々の発見事項は、他の2つと組み合わせて顧客データベースを窃取するために悪用できることを示せれば、全く異なる会話になります。

レポート作成

テスターはすべての発見事項を文書化し、レポートを作成し、合意された期間内（通常、テスト完了後5〜10営業日）に提出します。レポートの内容については次のセクションで説明します。

質の高いペネトレーションテストレポートの内容

プロフェッショナルなペネトレーションテストレポートは、プロバイダーの販売ツールではなく、チームの作業文書です。以下の内容が含まれるべきです：

エグゼクティブサマリー。 エンゲージメントの非技術的な概要、全体的なリスク態勢、発見事項の数と重大度、最も重大な問題。コードを修正する必要がある開発者ではなく、意思決定が必要な取締役会レベルの読者向けに書かれています。

スコープと方法論。 何がテストされたか、どのようにテストされたか、および制限事項（例えば、特定のURLが除外された場合や、テストが営業時間に制限された場合）。

リスク評価された発見事項。 各脆弱性に重大度評価が付けて一覧表示されます。英国の専門プロバイダーのほとんどは、特定の環境を考慮したコンテキスト的リスク評価とともに CVSS 3.1 スコアを使用します。単独のCVSSスコアは誤解を招く可能性があります。外部アクセスベクターのない7.5の発見事項は、公開エンドポイントの同じスコアとは異なるリスクです。

技術的詳細と再現手順。 開発者が発見事項を再現し、なぜ悪用可能かを理解し、修正が機能することを確認するための十分な情報。これは正確なリクエストとレスポンス、使用されたペイロード、役立つスクリーンショットを意味します。

修正ガイダンス。 各発見事項に対する具体的で実行可能なアドバイス。「依存関係を更新してください」ではなく、「ライブラリXをバージョン2.3.1から2.4.0にアップグレードし、UserController.phpの247行目の非推奨のシリアライゼーション呼び出しを削除してください。」

再テスト声明。 再テストが含まれるかどうかの確認、含まれる場合は発見事項がどのようにクローズされるか。テスターが確認するまで発見事項は解決されたとは言えません。

ペネトレーションテストに関する英国のコンプライアンス要件

PCI DSS。 カード会員データを処理、保存、または送信するすべての企業は、少なくとも年1回、および重要なインフラまたはアプリケーションの変更後にペネトレーションテストを実施する必要があります。2024年3月に唯一の有効バージョンになった PCI DSS v4.0 には、ペネトレーションテストのスコープと方法論に関する更新された要件が含まれています。これは推奨ではなく、必須要件です。

UK GDPR 第32条。 リスクに適切なセキュリティを確保するために適切な技術的措置を実施することを組織に要求します。ペネトレーションテストは、技術的な管理策が機能しているかどうかを積極的に評価したことを実証する最も直接的な方法です。ICOは執行決定においてセキュリティテストに言及しています。

ISO 27001。 附属書Aの管理策8.8は技術的脆弱性の管理を取り上げており、ペネトレーションテストはこの管理策を満足する標準的な方法です。ISO 27001認証を目指している場合、審査員はテストの証拠を見ることを期待します。

Cyber Essentials Plus。 英国政府の Cyber Essentials スキームの上位層には、オンサイト評価と脆弱性スキャンが含まれます。Cyber Essentials Plus はペネトレーションテストではありませんが、これを達成して確立されたベースラインを維持することは賢明な前提条件です。

NCSCガイダンス。 国家サイバーセキュリティセンターは、「サイバーセキュリティへの10ステップ」フレームワークの一部としてペネトレーションテストを推奨しており、特に「脆弱性管理」と「ネットワークセキュリティ」のステップに該当します。

CREST資格とその重要性

CREST は英国のペネトレーションテスト会社と個人テスターの主要な認定機関です。CREST登録プロバイダーは、プロセス、方法論、および機密データを適切に処理する能力について評価されます。個人テスターは以下の資格を保有できます：

• CREST Registered Tester (CRT)： WebアプリケーションまたはインフラテストにおけるCore技術能力を示すエントリーレベルの資格認定。
• CREST Certified Tester - Application (CCT App)： Webアプリケーションペネトレーションテストの上級資格認定。実技試験の合格が必要。
• CREST Certified Tester - Infrastructure (CCT Inf)： ネットワークおよびインフラテストの同等資格認定。

英国の公共部門機関には CHECK スキーム が適用されます。CHECK は NCSC が管理するスキームで、ペネトレーションテスターが CHECK Team Member または CHECK Team Leader ステータスを保有することを要求します。政府機関、NHS機関、地方自治体の場合、プロバイダーは CHECK ステータスを保有している必要があります。

プロバイダーを評価する際は、会社の最も上級なスタッフが保有する資格ではなく、実際にエンゲージメントに取り組むテスターが保有する特定の資格を確認するよう要求してください。レポートを書き、テストを実施する人物の資格が重要です。

どのくらいの頻度でテストすべきか

正解はリスクプロファイルによって異なりますが、実際の最低限は：

• 個人データや支払いデータを扱うインターネット向けアプリケーションについては、少なくとも年1回
• 新機能、新しい認証フロー、または新しい統合を導入する主要リリース後
• 初めて個人データや支払いデータを処理する新製品、アプリケーション、またはサービスのライブ前
• セキュリティインシデント後、攻撃者が持続性メカニズムを残したか、まだ閉じられていない脆弱性を悪用したかを理解するために
• リスクプロファイルが変化したとき、例えば合併、買収、またはユーザーベースの大幅な拡大後

英国でのペネトレーションテストのコスト

レートは2026年の英国市場価格を反映しています。これらの範囲を大幅に下回る見積もりは、通常、最小限の手動分析による自動スキャンを示しています。

Mecanik ペネトレーションテストサービス は、PTES と OWASP 方法論を使用し、概念実証エクスプロイトと優先順位付けされた修正レポートとともに、英国企業向けのWebアプリケーション、API、インフラテストを提供しています。

重要なポイント

• ペネトレーションテストは手動の、認可された攻撃のシミュレーションです。自動化された脆弱性スキャンとは根本的に異なります。
• テスターは個々の問題を孤立して列挙するだけでなく、複数の脆弱性を連鎖させて実際の影響を実証します。
• 英国のコンプライアンス義務（PCI DSS、UK GDPR 第32条、ISO 27001、NCSCガイダンス）はすべて、基本的なセキュリティ実践として定期的なペネトレーションテストを指し示しています。
• 質の高いレポートには、リスク評価された発見事項、技術的な再現手順、コンテキスト評価付きのCVSSスコア、および各問題に対する具体的な修正ガイダンスが含まれます。
• 資格については、エンゲージメントの個人テスターについて CREST CRT、CCT App、または CCT Inf を確認してください。公共部門の業務には CHECK スキームのステータスが必要です。
• 少なくとも年1回、主要リリース後、および個人データや支払いデータを扱う新しいサービスのライブ前にテストを実施してください。

よくある質問（FAQ）

ペネトレーションテストと脆弱性スキャンの違いは何ですか？ 脆弱性スキャンは自動化されたツールを使用して、既知の問題のデータベースに対してシステムをチェックします。ペネトレーションテストはターゲットについて推論し、脆弱性を連鎖させ、実際の悪用可能性を実証する人間のテスターが関わります。スキャンは高速でベースライン設定に役立ちますが、手動テストの代替にはなりません。

ペネトレーションテストはどのくらいかかりますか？ 中程度の複雑さのサイトのWebアプリケーションテストは、通常3〜5日間のテスト時間がかかります。大規模なアプリケーション、ソースコードレビューを伴うホワイトボックスエンゲージメント、または多くのホストにわたるインフラテストはより時間がかかります。スコーピング会話とレポート作成に追加の時間がかかるため、エンゲージメント開始から最終レポート提出まで2〜4週間を計画してください。

ペネトレーションテスト前にホスティングプロバイダーに通知する必要がありますか？ ホスティングまたはクラウドプロバイダーの利用規約を確認してください。AWS、Azure、GCPはすべて、ほとんどのサービスで事前通知なしに自分のリソースのペネトレーションテストを許可していますが、一部の制限が適用されます。共有ホスティングプロバイダーは事前通知を要求することが多いです。ペネトレーションテストプロバイダーはスコーピング時にこれを確認すべきです。

テスト中にテスターが重大な脆弱性を発見した場合どうなりますか？ 交戦規定は重大な発見事項のエスカレーション手順を定義すべきです。評判の良いテスターはレポートを待つのではなく、すぐに連絡してきます。その後、修正中にテストを一時停止するか、発見事項を文書化して続行するか、またはスコープを調整するかを決定します。

ペネトレーションテストはダウンタイムを引き起こす可能性がありますか？ ほとんどのテスト手法は非破壊的であり、ダウンタイムを引き起こしません。サービス拒否テストは明示的な合意が必要であり、通常は時間外に実施されます。テスターは潜在的に破壊的な手法を試みる前にそのリスクを議論すべきです。

CRESTペネトレーションテスターの資格をどのように確認しますか？ CREST は crest-approved.org で登録企業と認定個人の公開レジストリを維持しています。ステータスを確認するには企業名またはテスター名で検索してください。CHECK については、NCSC が CHECK 認定サービスプロバイダーのリストを公開しています。