覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版)
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。
特集
コラム
テーマは「優れたペネトレーションテスト会社の選び方」です。
ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。
本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。
なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。
●参加者一覧(敬称略)
・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者
・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖
・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア
・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める
※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません
・司会進行 ScanNetSecurity編集長 上野 宣
---
上野:
今日はお集まりいただきありがとうございます。
実は昨日まで、今回の座談会の議題となるテーマや質問を募集していました。20件近くの議題やご質問をお寄せいただきました。この場を借りて御礼を申し上げます。
その中に、Twitterから「何をもって優れているとするのでしょうか? 基準はあるのですか?」という座談会そのもののゴールとも言える質問をいただいています。これからの議論を通じてゴールを目指したいと思いますが、最初にこの質問に答えることで座談会を開始したいと思います。多数のペンテスト案件の発注経験を持つ穴井さんにまず伺います。優れたペンテストサービス、優れたペンテスト企業って、一言でいうと何でしょうか?
アナゴ情報 穴井:
ペンテストは職人ですよね。どこに差があるかというと、深さか網羅性かということになると思いますが、ペンテストを選ぶということは、人を選ぶということと同義だと思います。
うちではもともと、私の以前の同僚がやっている会社にペンテストをお願いしていました。そこからスタートして、その後いろいろな業者を試しました。
たとえば一番名の通った××××とかは、正直料金が高いですし、あとピンキリという印象があります。
いろんな会社にお仕事をお願いしていますが、いいペンテスターがいるかどうかは、たとえばまだ手法が確立していない××××とかの難しい診断で、これまで見つかっていなかった脆弱性が見つかったりすることでわかります。
ですから私は、今では発注する際に「この人なら任せられる」という人を指名しています。しかし、普通指名はできない。だから、誰がやっているのかわからないときには実際に発注して試してみるしかありません。
個々のスキルに依存しないように、レビューの仕組みなどで標準化して誰がやっても同じようにしているところもありますが、実際に試すと担当者による違いが出てきます。だから人を選ぶことと同義であると考えます。
エボシダイネット 恵方:
ただ、ユーザ企業から見ると一般的には安定したサービス、人に依存しないサービスが求められている現状があります。
上野:
ペンテストは実績を聞いても社名まではもちろん教えてくれません。業種と件数くらいです。それはあまり検討材料にならない。ツールを実行して終わりなのかも知れないからです。実際、ツールだけでやってる企業って、最近は減っているんでしょうか。
アナゴ情報 穴井:
××××と思います。ツールだけでサービスを始めている会社もあります。××××としてやっていたりするので、逆に増えているかも知れません。
ウナギコム 宇野:
最近、ツールの監査用のライセンスを売って欲しいという依頼がたまにあります。
上野:じゃあ、その社名を挙げていけばダメなところがわかりますね。割合はどうでしょう。ちゃんとやってるところとツールだけのところ。
アナゴ情報 穴井:
ホントに誠実にちゃんとやっているところは実に少ないですから、数えられます。やっている人が見えて、なおかつ信頼できるところは、それこそ、××××、××××、××××など合計××社か××社くらいじゃないですか。まあ、「優れた」というのは、ユーザがどこまで求めるかにもよりますが。
上野:
どこまで求めるかという話が出たところで、ここで、「診断」と「ペネトレーションテスト」という言葉を整理しておきたいと思います。どちらも似た意味で使われていますが、穴井さんは少し違うものとして考えていましたよね。
アナゴ情報 穴井:
私は「診断」は挙動までと考えています。一方「ペネトレーションテスト」は、例えば実際にコードを書くなどして、その脆弱性でどんな悪さができるかの証明まで行う違いがあると考えています。
※本記事はダイジェスト版です。有料版に全文を掲載しました
《ScanNetSecurity》
関連記事
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
-
インフォマート 公式 Facebook ページに不正ログイン
-
Windows DNS の脆弱性情報が公開
-
クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し