ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘 | ScanNetSecurity
2024.06.22(土)

ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘

SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなど

特集 特集
SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなどと呼ばれるもので、ネットワーク上のコンピュータやネットワーク機器に対して、実際の攻撃手法を用いて、検査対象のセキュリティがどの程度のレベルであるのかを調査する。同氏はマイクロソフトのセキュリティ コミュニティ メンバにもなっており、しばしばコラムも執筆している。今回は同氏にペネトレーションテストの内容から、テストにかける愛情、さらにはセキュリティや脅威の動向に至るまでお話をうかがった。このインタビューの内容を2回にわたって紹介していく。

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

────

>>他のベンダと一緒に安全なシステムを作り、提供していくことがスタート

─現在なさっているお仕事について教えてください

辻氏(以下敬称略):
仕事は主にペネトレーションテストを担当しています。ペネトレーションテストとは、サーバの脆弱性を検査するものです。サーバのセキュリティ上の脆弱性には、設定に関するもの、ソフトウェアのバグによるもの、運用に関するものの3つに大きく分けることができます。ペネトレーションテストでは、このうち人為的な設定の不備や、ソフトウェアのバグがサーバ上に存在するかどうかを技術的な観点から検査します。

具体的には、実際にサーバにアタックをかけて調べます。アタックは自動化されたツールも使用しますが、このようなツールには誤検知や非検知が発生することがあります。このため、複数のツールを詳細に検証し、どのようなときに誤検知や非検知が発生するのか、ツールのクセをつかむように心がけています。また、ツールだけでは本当のものをつかむことはできないと考えているので、複数の手法を併用してテストを行っています。

ペネトレーションテストによって発見された脆弱性は、その内容を報告するだけでなく、修正方法のご提案も行います。しかし、単に脆弱性の修正を行っただけでは、ソフトウェアや特定の機能が使えなくなるなど、業務が不便になってしまうこともあります。そのため、テストの結果は「報告会」という形で行います。システム担当の方をはじめ、場合によってはほかの部分を担当しているベンダの方も含めた数十人を相手にプレゼンテーション形式で報告することもあります。

報告会では、「この部分に問題があるから、このような処置をしなさい」といったことは言いません。企業などのネットワークでは、複数のベンダの製品が混在していることが多くなっています。このため、運用の立場で全体を見ながら最適な解決策を見いだしていかなければなりません。たまに他のベンダの方から「揚げ足を取るな」というようなことを言われたりしますが、私たちの仕事は「欠点を指摘すること」ではなく、他のベンダの方々と一緒に安全なシステムを作り、提供していくことだと思っています。それがスタートなんですよね。

>>学校は「きっかけをつかむための時間をもらう」場所

─この業界に入ろうと思ったきっかけは何でしょう?

辻:
高校生の頃に初めて自分のPCを持ちました。まだWindows 95の時代で、使っているときにWindows 95のOSの脆弱性のひとつだったポート139への攻撃を受けてクラッシュしたことがあるんです。それまで、どんなものでも「製品」は完全なものが提供されているものと思っていました。でも、通常ではない特殊な操作によって不具合を起こすことがある、不完全なものが製品として販売されているという事実に驚きました。

また、不具合をパッチによって修正できるということも新鮮な驚きがありました。この実体験が、直接のきっかけだったと思います。当時はインターネットも遅く高い時代でしたが、現在のような規制がほとんどない、ある意味無法地帯でした。ネットを探せば表から裏まで、いろいろな情報が入手できることも新鮮でしたね。

その後は専門学校で、さまざまなプログラミングを学びました。この頃はコンピュータの基礎を学びたいと考えていて、ドメインを販売する会社でバイトをしたりしました。いろいろなマシンがたくさんある専門学校は、まさに最適な環境でした。卒業研究ではVBでバックドアを作りましたよ(笑)。専門学校に限らず、学校というものは習う内容よりも「きっかけをつかむための時間をもらう」場所なんですよね。

>>大いなる力には大いなる責任が伴う

─この仕事のおもしろさ、また価値についてどうお考えですか?

辻:
ペネトレーションには「貫通」という意味があります。つまり侵入できるかどうかのテストを行っているわけです。普段の仕事は、情報収集や検証といった地味な作業がほとんどです。でも、侵入できる「穴」を見つけたときの喜びは大きいですね。「$」が「#」に変わった瞬間はエキサイティングです。(注1)この喜びはおそらく、釣りに似ているのではないかと思います。いろいろな情報を集めてデータを吟味し、場所やエサなどを工夫した上で釣り糸を垂らし、長時間待って当たりが来た感覚ですね…

注1:UNIXなどでは、ユーザー権限では「$」で表示されるコンソール画面でのプロンプト記号が、root権限になると「#」に変わる。「$」が「#」に変わるということは、そのシステムのroot権限を得た、つまり乗っ取りに成功したことになる。

【執筆:吉澤亨史】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  5. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  6. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  7. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  8. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  9. Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

    Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

  10. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

ランキングをもっと見る