[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 3ページ目 | ScanNetSecurity
2025.10.25(土)

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集 特集
PR
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏 全 8 枚 拡大写真
●リリース前、環境が変わったら診断が必要

黄:韓国では、脆弱性ハンドリング(脆弱性情報の発見、対策、公開、管理)やセキュアコーディングのガイドライン作成は、KISAという組織が行っています。

上野:それは、日本だとIPAやJPCERT/CCが行っていますね。診断の回数についてはどうでしょうか。多くの企業は年に2回くらい脆弱性診断を行っているようです。

薮本:思ったより多い印象ですが、回数だけで判断するのは難しいですね。年1回は定期的な診断をするというのは目安になりますが、新サービスやアプリのリリース前も実施すべきです。

黄:CSIRTの立場としては、設定変更、新しいシステムやソフトウェアの導入など何か環境が変わったら診断は必要だと思います。

上野:確かに直近のApache StrutsやWordPressの脆弱性問題を見ると、昨日OKだったものが今日はNGということもありますね。ソフトウェアのアップデートが新しい脆弱性を生むこともあります。このような問題の対策はどうすればいいと思いますか。

黄:ログやトラフィックの監視をしっかりやっていれば外部からの攻撃はわかります。ただし、デバイス、OSやシステム、アプリケーション、そして機密データや個人情報など、アセット管理で守るべきリソースを明確にしていないと、どれが攻撃なのかの判断を誤るので注意が必要です。

梁:Webアプリの場合は、機密データやアカウントデータなど外部に送信されるデータで攻撃かどうか判断できますよね。

薮本:脆弱性診断は、通常ブラックボックステストになりますが、実際には、現場のヒアリングやチェックリストによる検証も必要ですね。脆弱性は一般的には、システムやソフトウェアに共通ですが、やはり実装依存の問題もありますし、他では安全なものが特定の実装や運用によって危険な状態になっていることもあります。

  1. «
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 続きを読む

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

  5. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

ランキングをもっと見る
PageTop