[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 4ページ目 | ScanNetSecurity
2025.10.04(土)

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集 特集
PR
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏 全 8 枚 拡大写真
●脆弱性診断と侵入テストの関係

上野:僕も参加しているOWASPでも脆弱性診断のガイドラインを作っていますが、チェックリストは大事ですね。侵入テストとセットで行うこともありますし。

薮本:そういえば上野さんは侵入テストもやられますよね。実際、どんなテストをするんですか。

上野:まず最初にやるのは標的型攻撃メールを調査対象に送ります。規模にもよりますが、どんな会社でもだいたい5~10%はメールを開封して、マルウェアに感染します。その後、攻撃に必要なツールをパッケージ化したエクスプロイトキット※を使って脆弱性を探したり、内部に侵入できれば、ファイルサーバーやレポジトリを探し回って、「password」といったキーワードで検索をかけて「獲物」を探します。共有サーバーでも、探すとパスワードファイルや個人情報の入ったファイルが見つかったりします。あとは、ネットワークセグメントがどうなっているかを探ったり、予想したりして、ネットワーク構成図を把握します。

梁:韓国では、侵入テストと脆弱性診断をセットで行うところは多いですね。クライアントもそれを希望しますし、診断で問題なしとでても、「それはおかしいのではないか? ちゃんと診断してるのか」というユーザーもいるくらいです。

上野:そのあたり、日本のユーザーの意識は変わってきていますか。

薮本:僕は2007年ごろから脆弱性診断をやっていますが、当初は特定のアプリケーション、サーバーを診断してほしいというリクエストが多かったのですが、最近は、システム全体をチェックしたいというユーザーが増えている印象ですね。

  1. «
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 続きを読む

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop