覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版) | ScanNetSecurity
2024.03.29(金)

覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集 コラム
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
最近の主流のツールは何でしょうか。やはりツールでは×××一強ですか?


ウナギコム 宇野:
×××が多いと思います。最近×××をよく聞きます。×××と×××が2強ですね。×××は安いから売れているというのもあるでしょうけど。


アナゴ情報 穴井:
私は×××の使用・運営実績がある方だと思いますが、ツールの特長を生かせば、×××を網羅的に早く見つけることができます。ツールはそういった効率化のために使うべきだと思います。ツールで事前に脆弱性を見つけて、早い段階で修正しておいて、その後人の手によるペンテストや脆弱性診断を実施する順番がいいと思います。


上野:
実際、ツールでカバーできる範囲というのはどのくらいだと思われますか。


アナゴ情報 穴井:
×割くらいはツールでできます。残る×割は人が見る必要がある。特に、ロジックが絡むような部分や、セッション管理系は、ツールでは見えない部分がかなりあります。


ウナギコム 宇野:
ツールの特性上、×××の×××しか基本的に見ないですから。セッションがある程度進んだ後のページに脆弱性が発生するものは見つからないケースが多いのです。最近はアプリが複雑になって、ツールだと×××は100%近くわかりますが、×××はわからない。見落とすケースが多くなっています。


アナゴ情報 穴井:
早期にバグを発見するためにツールを使って、最後に保証するのは人による脆弱性診断という組み合わせが必要です。×××のためにツールを使うのはいいですが、それは×××を保証するものではないということを忘れてはいけないと思います。


ウナギコム 宇野:
ツールに過信すると×××が絶対出てきます。当社はツールを販売するときに×××もセットで実施します。×××を実施していないところはボロボロです。ツールもクセがありますから、使いこなすには×××がかかるのです。


エボシダイネット 恵方:
ツールと手動を併用した場合に、手動診断をどこまでやるのかを全然お客様が知らないのが現状です。そのために必要な工数で見積りを提示すると「料金が高い」「他社と大幅に開きがある」で終わってしまうこともあります。お客様に説明して理解を得づらい。


上野:
実際に選定の決め手を聞くと「×××」「×××」「×××」などの、×××だったということはよく聞きます。ところで、ネットワークの診断ツールは何がいいんでしょう。


アナゴ情報 穴井:
×××に興味あるんですが高い。検討したのですが値段で折り合いがつきませんでした。×××は買って後悔しました。すごくバグが多い。ツールのトラブル対応するなんてあり得ないです。

ネットワーク診断は、最近高い気がします。IPアドレスあたり×××円とか。昔はそうだったかなって思うくらいです。


エボシダイネット 恵方:
それこそツールのライセンスフィーかもしれませんね。


上野:
×××のライセンス版を買ったんですが、普通に速いです。昔は×××が速い印象がありましたが、反応が良くなかった。×××の認識を間違うとそのままですし。ただ、項目をはしょっているから速いというのも理由にあるかもしれません。

※本記事はダイジェスト版です。有料版に全文を掲載しました

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る