覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版) | ScanNetSecurity
2021.06.19(土)

覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集 コラム
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
今日はお集まりいただきありがとうございます。

実は昨日まで、今回の座談会の議題となるテーマや質問を募集していました。20件近くの議題やご質問をお寄せいただきました。この場を借りて御礼を申し上げます。

その中に、Twitterから「何をもって優れているとするのでしょうか? 基準はあるのですか?」という座談会そのもののゴールとも言える質問をいただいています。これからの議論を通じてゴールを目指したいと思いますが、最初にこの質問に答えることで座談会を開始したいと思います。多数のペンテスト案件の発注経験を持つ穴井さんにまず伺います。優れたペンテストサービス、優れたペンテスト企業って、一言でいうと何でしょうか?


アナゴ情報 穴井:
ペンテストは職人ですよね。どこに差があるかというと、深さか網羅性かということになると思いますが、ペンテストを選ぶということは、人を選ぶということと同義だと思います。

うちではもともと、私の以前の同僚がやっている会社にペンテストをお願いしていました。そこからスタートして、その後いろいろな業者を試しました。

たとえば一番名の通った××××とかは、正直料金が高いですし、あとピンキリという印象があります。

いろんな会社にお仕事をお願いしていますが、いいペンテスターがいるかどうかは、たとえばまだ手法が確立していない××××とかの難しい診断で、これまで見つかっていなかった脆弱性が見つかったりすることでわかります。

ですから私は、今では発注する際に「この人なら任せられる」という人を指名しています。しかし、普通指名はできない。だから、誰がやっているのかわからないときには実際に発注して試してみるしかありません。

個々のスキルに依存しないように、レビューの仕組みなどで標準化して誰がやっても同じようにしているところもありますが、実際に試すと担当者による違いが出てきます。だから人を選ぶことと同義であると考えます。


エボシダイネット 恵方:
ただ、ユーザ企業から見ると一般的には安定したサービス、人に依存しないサービスが求められている現状があります。


上野:
ペンテストは実績を聞いても社名まではもちろん教えてくれません。業種と件数くらいです。それはあまり検討材料にならない。ツールを実行して終わりなのかも知れないからです。実際、ツールだけでやってる企業って、最近は減っているんでしょうか。


アナゴ情報 穴井:
××××と思います。ツールだけでサービスを始めている会社もあります。××××としてやっていたりするので、逆に増えているかも知れません。


ウナギコム 宇野:
最近、ツールの監査用のライセンスを売って欲しいという依頼がたまにあります。


上野:じゃあ、その社名を挙げていけばダメなところがわかりますね。割合はどうでしょう。ちゃんとやってるところとツールだけのところ。


アナゴ情報 穴井:
ホントに誠実にちゃんとやっているところは実に少ないですから、数えられます。やっている人が見えて、なおかつ信頼できるところは、それこそ、××××、××××、××××など合計××社か××社くらいじゃないですか。まあ、「優れた」というのは、ユーザがどこまで求めるかにもよりますが。


上野:
どこまで求めるかという話が出たところで、ここで、「診断」と「ペネトレーションテスト」という言葉を整理しておきたいと思います。どちらも似た意味で使われていますが、穴井さんは少し違うものとして考えていましたよね。


アナゴ情報 穴井:
私は「診断」は挙動までと考えています。一方「ペネトレーションテスト」は、例えば実際にコードを書くなどして、その脆弱性でどんな悪さができるかの証明まで行う違いがあると考えています。

※本記事はダイジェスト版です。有料版に全文を掲載しました

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  5. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

  6. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

  7. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. LogStareのSOCの窓 第2回「現代アートと化すファイアウォール」

    LogStareのSOCの窓 第2回「現代アートと化すファイアウォール」

  10. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

ランキングをもっと見る