覆面座談会「優れたペネトレーションテスト会社の選び方」第4回 ハズレのない会社選びの基準(ダイジェスト版)
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。
特集
コラム
テーマは「優れたペネトレーションテスト会社の選び方」です。
ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。
本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。
なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。
●参加者一覧(敬称略)
・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者
・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖
・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「Eel analyzer」の販売を行う企業で研究開発を行うエンジニア
・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める
※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません
・司会進行 ScanNetSecurity編集長 上野 宣
---
上野:
これからの時間は、座談会のゴールとして、いい会社をどうやって選ぶのかを考えていきたいと思います。
アナゴ情報 穴井:
そもそも、ツールを効果的に活用しつつ、同時にツールでカバーできない範囲を人が深く調べてくれる会社ということでは選択肢がほとんどありません。
上野:
×××の×××のようなリストを紹介するっていいますが、あれも怪しいです。選ぶ基準を決めるのは難しい。
アナゴ情報 穴井:
いい会社でも、×××は既にいいお客さんがいっぱいいるから冷たいですよ。すごく高いし(笑)。1画面×××万円とか。
エボシダイネット 恵方:
それはすごい!
ウナギコム 宇野:
一度言ってみたい(笑)
上野:
「いい悪い」だと少し抽象的なので、設問を変えてみましょうか。どんな情報があれば診断会社の優劣がわかるでしょうか。
アナゴ情報 穴井:
私は、十数年前は ××× に投稿があるかで判断していました。また、脆弱性を見つけると×××に×××されますが、あれもひとつの目安になると思います。実際、そこでよく見る名前は海外の×××でもよく見かけます。ですから、×××は実績として判断要素になると思います。また、技術者が×××場合、必ず内容をチェックします。×××している人は、その内容で判断できます。
上野:
×××はよく検索されますから有効ですね。これは、たまには見つけて報告して、名前を載せておかないとダメかな(笑)。今日お集まりの方も多数×××に名前が載っています。
※本記事はダイジェスト版です。有料版に全文を掲載しました
《ScanNetSecurity》
