脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。 しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知(false positive)が発生する場合もあります。特定のフレームワークではなく、ユーザー独自開発アプリケーションの場合にセキュリティ上の深刻な欠陥を検出できません。また、検査されたネットワークに特化されていないネットワーク要素間との任意の接続も現れず、現実的な脅威かどうかを判断することが難しいので、現実的なハッキングの脅威とは比較されにくい部分があります。

擬似侵入テストは、現実的な脅威を確認するために、この脆弱性を攻撃します。事前に実際の攻撃を行うことができる脆弱性を識別し、接続リングを発見し、様々なパターンの攻撃を試みることができます。スキャナでは検出されない、特定のネットワークリソースやシステムリソースに、実際に脅威を与える可能性がある脆弱性を識別し攻撃するために、ハッカーが現実に悪用可能な脆弱性の潜在的リスクを評価し、注意が必要な脆弱性の優先度を順位付けできるように支援します。

この脆弱性の分析と擬似侵入テストは、並行して行うことにより効率的な検査を行うことができます。

レイヤー単位のネットワーク層テスト(ファイアウォール、Webサーバ、メールサーバ、FTPサーバ...など)、アプリケーション層(すべての主要な開発言語、すべての主要なWebサーバー、すべての主要なオペレーティングシステム、すべての主要なブラウザ)、無線システム、内部ワークステーション、プリンタ、ファックス装置、WARダイヤルベースの電話番号、仮想化およびクラウド環境、インターネット対応デバイスなどのテストが行われます。

• ソフトウェア、特にカスタムソフトウェアは、ほとんどの場合セキュリティの脆弱性から逃れることはできません。クラウド内でどんなに優れたセキュリティサービスを提供しても、顧客のアプリケーションの脆弱性まで対応することはできません。
• 企業で使用されているプリンタ、無線サーバ、ノートブック、ワークステーション、モデムなどのビジネス機器にも脆弱性が存在しています。

• 常にお客様の重要なデータは、所有者の許可無く、盗難されたり、無分別にコピーされ販売されています。
• ほとんどの管理者と組織メンバーは、自らのシステムが盗難や流出に関してどのように関わっているかどうか気付いていません。
• データ流出は、物理的な侵入とは違って、数ヶ月から数年が経っても発見されていない場合もあります。
• データを保護する最善の方法は、盗難されたデータが悪用される前に、システムの脆弱性を検出して把握し、修復することです。

ペネトレーションテストは、Pen–testing、擬似侵入テスト、擬似ハッキングテストなどの用語として使用されており、組織の情報セキュリティレベルを積極的に評価するためのプロセスの一環として、実際の攻撃行為(= hacking)のシミュレーションを実行します。

• 通常、利用されているセキュリティの脆弱性と、さまざまな技法を使用して、この脆弱性を把握する方法です。
• 擬似侵入テスト(侵入テスト)は、ITセキュリティを確認するための方法でテストを通じてハッキングへの対応戦略を構想します。
• お客様システムのセキュリティ担当者の事前承認を受けた後、実行するテストです。
• クライアントのネットワーク、サーバー、Webアプリケーション、モバイルプラットフォーム、ワイヤレスシステム、プリンタ、モデムなどのサイバー犯罪に悪用されることができるネットワーク範囲の環境をテストします。

サービスの範囲

• 顧客のニーズ分析とセキュリティポリシーの見直し(ITポリシーと人事政策文書)、ホワイトハット(white-hat)擬似侵入テスト(Penetration testing)
• 情報の保護認証コンサルティング、ハイブリッド脆弱性監視サービス
• 様々なセキュリティスキャン技術を使用した脆弱性検出と、ハッキングへの対応戦略構想の作成、DDoS、ブルートフォース攻撃(Brute force attack)などに対応

脆弱性診断の分野と範囲

• ワイヤレスネットワークの脆弱性分析と診断
• スマートフォンの脆弱性分析と診断
• Webアプリケーションの脆弱性分析と診断
• アプリケーションおよびOSオペレーティング・システムの脆弱性分析と診断
• ネットワークの脆弱性分析と診断
• VoIPの脆弱性分析と診断
• 上記以外の数多くの項目を診断

25人以下の小規模な企業やスタートアップ企業がサイバー犯罪者の目標となっている。
カスペルスキー（Kaspersky Lab）の「2014年 ITセキュリティ・リスク・レポート」によると、25人以下の中小企業のITへの関心度は、全体の19%となっており、最も低いことが証明された。
一方、100人以上の規模の企業と、5,000人以上の規模の企業の場合、それぞれ30%と35%という結果となった。

これらの結果は、スタートアップのような中小企業の場合は、セキュリティソフトウェアなど必要なIT要素を備えることが、経済状況やIT関連の専門知識が不十分だからと分析されている。
また、主力製品やサービスの販売促進に、あらゆる社内リソースを投資する傾向がある、その理由としてビジネスが失敗した場合に、インフラへの投資は無意味と踏んでいるからだ。
しかし、サイバー犯罪者は、ITセキュリティが疎かな簡単に攻撃できる目標を好む。
ハッキングによる被害を回復するためには相当な費用が必要となり、大規模な企業は被害後の回復すべき資金を保有している一方、中小企業の場合、倒産という危機から逃れることは不可能だ。

今回の調査結果は、予算不足がITセキュリティ要素を導入するのに最大のネックとなっていることを提示した。
それに従い小規模な企業やスタートアップ企業は、現状直面しているセキュリティの脅威に対抗するため、直接的な解決策を得ることができるセキュリティの基盤作りに投資しなければならない。