覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版) | ScanNetSecurity
2021.05.12(水)

覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集 コラム
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「Eel Analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
読者から「何に重点を置いたら優れたペネトレーションテストが実施できるか」という質問が来ています。この質問をペンテストを実施する技術者の立場でちょっと考えてみたいと思います。

ウナギコム 宇野:
脆弱性を探すためには、×××を作った人の×××を考えることは有効だと思います。ですから×××ということは最低限必要でしょうね。×××いないと、どういう×××なのかわからないから見落としてしまう。

アナゴ情報 穴井:
いいペンテンスターは自分で×××と思います。

また、顧客視点で考えるとやっぱりレポートです。ここで実力が出ると思います。私はレポートを丁寧に見ています。「サニタイズしてください」の一言で終わっちゃうものもある一方、「どうやったらいいんですか?」って聞くと、口ごもってしまう場合もあります。それこそ、×××ないから答えられないんですよね。知っていてわざと聞いてしまうのですが。

上野:どSじゃないですか(笑)

アナゴ情報 穴井:
無駄なことを書かず、わかりやすく具体的な、本質をとらえたレポートであって欲しい。

上野:
いいレポートを書くためには×××くらいの知識が必要ですね。

アナゴ情報 穴井:
直すのは×××ですからね。

上野:ペンテストを実施するのは職人がいいのでしょうか。それとも、統制されてマネジメントされたチームがいいのでしょうか。

エボシダイネット 恵方:
企業の規模によると思います。うちはチーム制で動いています。

アナゴ情報 穴井:
でも、チーム制の運用で、うまくいかない場合もあると思います。以前、ペネトレーションテストをお願いしていた会社さんが、繁忙期にバイトを入れたりして分業化したらクオリティが下がったという経験があります。全体をマネジメントしきれなくなったのかなと推測しました。コスト効率化のためには正しいことなのですが、管理しきれなくなるとレベルが下がることはあると思います。

※本記事はダイジェスト版です。有料版に全文を掲載しました

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

    オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?PR

  2. 不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

    不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

  3. 「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

    「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

  4. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  5. メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

    メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

  6. 廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

    廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

  7. NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

    NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

  8. ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

    ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

  9. もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催

    もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催PR

  10. セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

    セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

ランキングをもっと見る