覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版) | ScanNetSecurity
2021.09.19(日)

覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集 コラム
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「Eel Analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
読者から「何に重点を置いたら優れたペネトレーションテストが実施できるか」という質問が来ています。この質問をペンテストを実施する技術者の立場でちょっと考えてみたいと思います。

ウナギコム 宇野:
脆弱性を探すためには、×××を作った人の×××を考えることは有効だと思います。ですから×××ということは最低限必要でしょうね。×××いないと、どういう×××なのかわからないから見落としてしまう。

アナゴ情報 穴井:
いいペンテンスターは自分で×××と思います。

また、顧客視点で考えるとやっぱりレポートです。ここで実力が出ると思います。私はレポートを丁寧に見ています。「サニタイズしてください」の一言で終わっちゃうものもある一方、「どうやったらいいんですか?」って聞くと、口ごもってしまう場合もあります。それこそ、×××ないから答えられないんですよね。知っていてわざと聞いてしまうのですが。

上野:どSじゃないですか(笑)

アナゴ情報 穴井:
無駄なことを書かず、わかりやすく具体的な、本質をとらえたレポートであって欲しい。

上野:
いいレポートを書くためには×××くらいの知識が必要ですね。

アナゴ情報 穴井:
直すのは×××ですからね。

上野:ペンテストを実施するのは職人がいいのでしょうか。それとも、統制されてマネジメントされたチームがいいのでしょうか。

エボシダイネット 恵方:
企業の規模によると思います。うちはチーム制で動いています。

アナゴ情報 穴井:
でも、チーム制の運用で、うまくいかない場合もあると思います。以前、ペネトレーションテストをお願いしていた会社さんが、繁忙期にバイトを入れたりして分業化したらクオリティが下がったという経験があります。全体をマネジメントしきれなくなったのかなと推測しました。コスト効率化のためには正しいことなのですが、管理しきれなくなるとレベルが下がることはあると思います。

※本記事はダイジェスト版です。有料版に全文を掲載しました

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. P2Pネットワーク監視サービス「P2P FINDER」がBitTorrentに対応(クロスワープ)

    P2Pネットワーク監視サービス「P2P FINDER」がBitTorrentに対応(クロスワープ)

  2. 苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了

    苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了

  3. 「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案

    「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案PR

  4. LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い

    LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い

  5. ドメイン名ハイジャック対応、日本企業のベストプラクティス事例

    ドメイン名ハイジャック対応、日本企業のベストプラクティス事例

  6. JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向

    JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向

  7. オリエンタルコンサルタンツへのランサムウェア攻撃、新たに東京都の委託業務の被害も発覚

    オリエンタルコンサルタンツへのランサムウェア攻撃、新たに東京都の委託業務の被害も発覚

  8. 大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得

    大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得

  9. 海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出

    海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出

  10. Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性

    Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性

ランキングをもっと見る