[インタビュー] セキュリティ診断会社の「脆弱性を見つける以外のシゴト」(NTTデータ先端技術)
山下「サービスの安全性を本当に高めたいなら、セキュリティ診断で見つかった問題点を一つ一つ修正していくだけではもう不十分である現実を示していると思います。」
特集
特集
PR
脆弱性検知はもちろん重要です。しかし「他社で見つからなかった脆弱性を見つけてくれた」と言っていただくことに、決して満足しないようにしています。当社ではセキュリティ診断を、脆弱性を数多く「見つける」ことよりも、お客様のシステムをよりセキュアで安全な状態に「導く」ことが重要だと考えています。
NTTデータ先端技術はお客様に「質問の多いセキュリティ会社」と呼ばれています。それは、仕事に着手する前に私たちが、ヒアリングの時間をいただいて、たくさんの質問をするようにしているからです。
――どんな質問をするのですか。
お客様のシステム全体について、システムの内容はもちろん、構築時期、セキュリティ方針、ネットワーク構成、利用ユーザー数などを確認させていただき、今回どのような目的で診断を受診されるのかヒアリングするようにしています。
また診断実施期間中においても、お客様システムの特有の使い方や、重要情報などを都度確認しながら、診断作業を進めます。
だからこそ、単に脆弱性を見つけるだけでなく、お客様に合った適切なサービスを提供することができ、診断後の対策方針などのアドバイスについても円滑におこなえているように思います。そして、その結果お客様のシステムをより安全な状態に導くことができていると思っています。
――たくさんの質問をすることが、検知率と満足度の向上につながっているということですね。
わかりませんが、それがお客様のシステムの安全とサービスの向上に通じているとしたら嬉しい限りです。
――見つかった脆弱性を報告した後の、改修や対策も重要ですね。
診断結果レポートに記載させていただくセキュリティ対策は、理想的な対策ではあるものの、実際に構築・運用している現場の方々にとっては、実施が困難なものや、システムへの影響を考慮して、すぐに対応できないケースも少なくありません。
そのような場合に、現実的な対処方法を探すコンサルティングを行います。診るだけでなく「治す」「今後も新たな脆弱性が出ないような対策を講じる」診断サービスでありたいと考えているからです。
上流工程の仕様によって作り込まれる脆弱性の話をしましたが(前回「セキュリティ診断で検知される脆弱性の傾向に変化あり」を参照)、いまやサービスの安全性を本当に高めたいなら、セキュリティ診断で見つかった問題点を一つ一つ修正していくだけではもう不十分である現実を示していると思います。
――脆弱性を見つけるだけの診断サービスはコモディティ化していく可能性もありますね。しかし、そんなサービスを支えるには、ヒアリングや業務理解など、診断技術以外の幅広い知識やスキルを持つ人材の確保と育成が重要ですね。
《ScanNetSecurity》
関連記事
![[インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21284.jpg)
この記事の写真
/
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
情報処理学会、高等学校情報科の全教科書の用語リスト公開
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
-
LINE client for iOS にサーバ証明書の検証不備の脆弱性