ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘 | ScanNetSecurity
2024.04.20(土)

ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘

SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなど

特集 特集
SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなどと呼ばれるもので、ネットワーク上のコンピュータやネットワーク機器に対して、実際の攻撃手法を用いて、検査対象のセキュリティがどの程度のレベルであるのかを調査する。同氏はマイクロソフトのセキュリティ コミュニティ メンバにもなっており、しばしばコラムも執筆している。今回は同氏にペネトレーションテストの内容から、テストにかける愛情、さらにはセキュリティや脅威の動向に至るまでお話をうかがった。このインタビューの内容を2回にわたって紹介していく。

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

────

>>他のベンダと一緒に安全なシステムを作り、提供していくことがスタート

─現在なさっているお仕事について教えてください

辻氏(以下敬称略):
仕事は主にペネトレーションテストを担当しています。ペネトレーションテストとは、サーバの脆弱性を検査するものです。サーバのセキュリティ上の脆弱性には、設定に関するもの、ソフトウェアのバグによるもの、運用に関するものの3つに大きく分けることができます。ペネトレーションテストでは、このうち人為的な設定の不備や、ソフトウェアのバグがサーバ上に存在するかどうかを技術的な観点から検査します。

具体的には、実際にサーバにアタックをかけて調べます。アタックは自動化されたツールも使用しますが、このようなツールには誤検知や非検知が発生することがあります。このため、複数のツールを詳細に検証し、どのようなときに誤検知や非検知が発生するのか、ツールのクセをつかむように心がけています。また、ツールだけでは本当のものをつかむことはできないと考えているので、複数の手法を併用してテストを行っています。

ペネトレーションテストによって発見された脆弱性は、その内容を報告するだけでなく、修正方法のご提案も行います。しかし、単に脆弱性の修正を行っただけでは、ソフトウェアや特定の機能が使えなくなるなど、業務が不便になってしまうこともあります。そのため、テストの結果は「報告会」という形で行います。システム担当の方をはじめ、場合によってはほかの部分を担当しているベンダの方も含めた数十人を相手にプレゼンテーション形式で報告することもあります。

報告会では、「この部分に問題があるから、このような処置をしなさい」といったことは言いません。企業などのネットワークでは、複数のベンダの製品が混在していることが多くなっています。このため、運用の立場で全体を見ながら最適な解決策を見いだしていかなければなりません。たまに他のベンダの方から「揚げ足を取るな」というようなことを言われたりしますが、私たちの仕事は「欠点を指摘すること」ではなく、他のベンダの方々と一緒に安全なシステムを作り、提供していくことだと思っています。それがスタートなんですよね。

>>学校は「きっかけをつかむための時間をもらう」場所

─この業界に入ろうと思ったきっかけは何でしょう?

辻:
高校生の頃に初めて自分のPCを持ちました。まだWindows 95の時代で、使っているときにWindows 95のOSの脆弱性のひとつだったポート139への攻撃を受けてクラッシュしたことがあるんです。それまで、どんなものでも「製品」は完全なものが提供されているものと思っていました。でも、通常ではない特殊な操作によって不具合を起こすことがある、不完全なものが製品として販売されているという事実に驚きました。

また、不具合をパッチによって修正できるということも新鮮な驚きがありました。この実体験が、直接のきっかけだったと思います。当時はインターネットも遅く高い時代でしたが、現在のような規制がほとんどない、ある意味無法地帯でした。ネットを探せば表から裏まで、いろいろな情報が入手できることも新鮮でしたね。

その後は専門学校で、さまざまなプログラミングを学びました。この頃はコンピュータの基礎を学びたいと考えていて、ドメインを販売する会社でバイトをしたりしました。いろいろなマシンがたくさんある専門学校は、まさに最適な環境でした。卒業研究ではVBでバックドアを作りましたよ(笑)。専門学校に限らず、学校というものは習う内容よりも「きっかけをつかむための時間をもらう」場所なんですよね。

>>大いなる力には大いなる責任が伴う

─この仕事のおもしろさ、また価値についてどうお考えですか?

辻:
ペネトレーションには「貫通」という意味があります。つまり侵入できるかどうかのテストを行っているわけです。普段の仕事は、情報収集や検証といった地味な作業がほとんどです。でも、侵入できる「穴」を見つけたときの喜びは大きいですね。「$」が「#」に変わった瞬間はエキサイティングです。(注1)この喜びはおそらく、釣りに似ているのではないかと思います。いろいろな情報を集めてデータを吟味し、場所やエサなどを工夫した上で釣り糸を垂らし、長時間待って当たりが来た感覚ですね…

注1:UNIXなどでは、ユーザー権限では「$」で表示されるコンソール画面でのプロンプト記号が、root権限になると「#」に変わる。「$」が「#」に変わるということは、そのシステムのroot権限を得た、つまり乗っ取りに成功したことになる。

【執筆:吉澤亨史】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  3. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  4. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  5. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  6. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  7. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

  8. 東京高速道路のメールアカウントを不正利用、大量のメールを送信

    東京高速道路のメールアカウントを不正利用、大量のメールを送信

  9. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  10. フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

    フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

ランキングをもっと見る