覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版) | ScanNetSecurity
2021.06.20(日)

覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集 コラム
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
最近の主流のツールは何でしょうか。やはりツールでは×××一強ですか?


ウナギコム 宇野:
×××が多いと思います。最近×××をよく聞きます。×××と×××が2強ですね。×××は安いから売れているというのもあるでしょうけど。


アナゴ情報 穴井:
私は×××の使用・運営実績がある方だと思いますが、ツールの特長を生かせば、×××を網羅的に早く見つけることができます。ツールはそういった効率化のために使うべきだと思います。ツールで事前に脆弱性を見つけて、早い段階で修正しておいて、その後人の手によるペンテストや脆弱性診断を実施する順番がいいと思います。


上野:
実際、ツールでカバーできる範囲というのはどのくらいだと思われますか。


アナゴ情報 穴井:
×割くらいはツールでできます。残る×割は人が見る必要がある。特に、ロジックが絡むような部分や、セッション管理系は、ツールでは見えない部分がかなりあります。


ウナギコム 宇野:
ツールの特性上、×××の×××しか基本的に見ないですから。セッションがある程度進んだ後のページに脆弱性が発生するものは見つからないケースが多いのです。最近はアプリが複雑になって、ツールだと×××は100%近くわかりますが、×××はわからない。見落とすケースが多くなっています。


アナゴ情報 穴井:
早期にバグを発見するためにツールを使って、最後に保証するのは人による脆弱性診断という組み合わせが必要です。×××のためにツールを使うのはいいですが、それは×××を保証するものではないということを忘れてはいけないと思います。


ウナギコム 宇野:
ツールに過信すると×××が絶対出てきます。当社はツールを販売するときに×××もセットで実施します。×××を実施していないところはボロボロです。ツールもクセがありますから、使いこなすには×××がかかるのです。


エボシダイネット 恵方:
ツールと手動を併用した場合に、手動診断をどこまでやるのかを全然お客様が知らないのが現状です。そのために必要な工数で見積りを提示すると「料金が高い」「他社と大幅に開きがある」で終わってしまうこともあります。お客様に説明して理解を得づらい。


上野:
実際に選定の決め手を聞くと「×××」「×××」「×××」などの、×××だったということはよく聞きます。ところで、ネットワークの診断ツールは何がいいんでしょう。


アナゴ情報 穴井:
×××に興味あるんですが高い。検討したのですが値段で折り合いがつきませんでした。×××は買って後悔しました。すごくバグが多い。ツールのトラブル対応するなんてあり得ないです。

ネットワーク診断は、最近高い気がします。IPアドレスあたり×××円とか。昔はそうだったかなって思うくらいです。


エボシダイネット 恵方:
それこそツールのライセンスフィーかもしれませんね。


上野:
×××のライセンス版を買ったんですが、普通に速いです。昔は×××が速い印象がありましたが、反応が良くなかった。×××の認識を間違うとそのままですし。ただ、項目をはしょっているから速いというのも理由にあるかもしれません。

※本記事はダイジェスト版です。有料版に全文を掲載しました

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る