ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘 | ScanNetSecurity
2021.01.25(月)

ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘

SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなど

特集 特集
SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなどと呼ばれるもので、ネットワーク上のコンピュータやネットワーク機器に対して、実際の攻撃手法を用いて、検査対象のセキュリティがどの程度のレベルであるのかを調査する。同氏はマイクロソフトのセキュリティ コミュニティ メンバにもなっており、しばしばコラムも執筆している。今回は同氏にペネトレーションテストの内容から、テストにかける愛情、さらにはセキュリティや脅威の動向に至るまでお話をうかがった。このインタビューの内容を2回にわたって紹介していく。

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

────

>>他のベンダと一緒に安全なシステムを作り、提供していくことがスタート

─現在なさっているお仕事について教えてください

辻氏(以下敬称略):
仕事は主にペネトレーションテストを担当しています。ペネトレーションテストとは、サーバの脆弱性を検査するものです。サーバのセキュリティ上の脆弱性には、設定に関するもの、ソフトウェアのバグによるもの、運用に関するものの3つに大きく分けることができます。ペネトレーションテストでは、このうち人為的な設定の不備や、ソフトウェアのバグがサーバ上に存在するかどうかを技術的な観点から検査します。

具体的には、実際にサーバにアタックをかけて調べます。アタックは自動化されたツールも使用しますが、このようなツールには誤検知や非検知が発生することがあります。このため、複数のツールを詳細に検証し、どのようなときに誤検知や非検知が発生するのか、ツールのクセをつかむように心がけています。また、ツールだけでは本当のものをつかむことはできないと考えているので、複数の手法を併用してテストを行っています。

ペネトレーションテストによって発見された脆弱性は、その内容を報告するだけでなく、修正方法のご提案も行います。しかし、単に脆弱性の修正を行っただけでは、ソフトウェアや特定の機能が使えなくなるなど、業務が不便になってしまうこともあります。そのため、テストの結果は「報告会」という形で行います。システム担当の方をはじめ、場合によってはほかの部分を担当しているベンダの方も含めた数十人を相手にプレゼンテーション形式で報告することもあります。

報告会では、「この部分に問題があるから、このような処置をしなさい」といったことは言いません。企業などのネットワークでは、複数のベンダの製品が混在していることが多くなっています。このため、運用の立場で全体を見ながら最適な解決策を見いだしていかなければなりません。たまに他のベンダの方から「揚げ足を取るな」というようなことを言われたりしますが、私たちの仕事は「欠点を指摘すること」ではなく、他のベンダの方々と一緒に安全なシステムを作り、提供していくことだと思っています。それがスタートなんですよね。

>>学校は「きっかけをつかむための時間をもらう」場所

─この業界に入ろうと思ったきっかけは何でしょう?

辻:
高校生の頃に初めて自分のPCを持ちました。まだWindows 95の時代で、使っているときにWindows 95のOSの脆弱性のひとつだったポート139への攻撃を受けてクラッシュしたことがあるんです。それまで、どんなものでも「製品」は完全なものが提供されているものと思っていました。でも、通常ではない特殊な操作によって不具合を起こすことがある、不完全なものが製品として販売されているという事実に驚きました。

また、不具合をパッチによって修正できるということも新鮮な驚きがありました。この実体験が、直接のきっかけだったと思います。当時はインターネットも遅く高い時代でしたが、現在のような規制がほとんどない、ある意味無法地帯でした。ネットを探せば表から裏まで、いろいろな情報が入手できることも新鮮でしたね。

その後は専門学校で、さまざまなプログラミングを学びました。この頃はコンピュータの基礎を学びたいと考えていて、ドメインを販売する会社でバイトをしたりしました。いろいろなマシンがたくさんある専門学校は、まさに最適な環境でした。卒業研究ではVBでバックドアを作りましたよ(笑)。専門学校に限らず、学校というものは習う内容よりも「きっかけをつかむための時間をもらう」場所なんですよね。

>>大いなる力には大いなる責任が伴う

─この仕事のおもしろさ、また価値についてどうお考えですか?

辻:
ペネトレーションには「貫通」という意味があります。つまり侵入できるかどうかのテストを行っているわけです。普段の仕事は、情報収集や検証といった地味な作業がほとんどです。でも、侵入できる「穴」を見つけたときの喜びは大きいですね。「$」が「#」に変わった瞬間はエキサイティングです。(注1)この喜びはおそらく、釣りに似ているのではないかと思います。いろいろな情報を集めてデータを吟味し、場所やエサなどを工夫した上で釣り糸を垂らし、長時間待って当たりが来た感覚ですね…

注1:UNIXなどでは、ユーザー権限では「$」で表示されるコンソール画面でのプロンプト記号が、root権限になると「#」に変わる。「$」が「#」に変わるということは、そのシステムのroot権限を得た、つまり乗っ取りに成功したことになる。

【執筆:吉澤亨史】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

    VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

  2. 仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

    仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

  3. 先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

    先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

  4. Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

    Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

  5. 我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

    我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

  6. ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

    ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

  7. イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

    イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

  8. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

    売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  9. 「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に

    「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に

  10. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

ランキングをもっと見る