[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集特集

2017.4.19 Wed 8:15 PR

左から NHN テコラス株式会社黄氏、同梁氏、ScanNetSecurity編集人上野、NHN テコラス薮本氏全 8 枚拡大写真

●脆弱性診断と侵入テストの関係

上野：僕も参加しているOWASPでも脆弱性診断のガイドラインを作っていますが、チェックリストは大事ですね。侵入テストとセットで行うこともありますし。

薮本：そういえば上野さんは侵入テストもやられますよね。実際、どんなテストをするんですか。

上野：まず最初にやるのは標的型攻撃メールを調査対象に送ります。規模にもよりますが、どんな会社でもだいたい5～10％はメールを開封して、マルウェアに感染します。その後、攻撃に必要なツールをパッケージ化したエクスプロイトキット※を使って脆弱性を探したり、内部に侵入できれば、ファイルサーバーやレポジトリを探し回って、「password」といったキーワードで検索をかけて「獲物」を探します。共有サーバーでも、探すとパスワードファイルや個人情報の入ったファイルが見つかったりします。あとは、ネットワークセグメントがどうなっているかを探ったり、予想したりして、ネットワーク構成図を把握します。

梁：韓国では、侵入テストと脆弱性診断をセットで行うところは多いですね。クライアントもそれを希望しますし、診断で問題なしとでても、「それはおかしいのではないか？ちゃんと診断してるのか」というユーザーもいるくらいです。

上野：そのあたり、日本のユーザーの意識は変わってきていますか。

薮本：僕は2007年ごろから脆弱性診断をやっていますが、当初は特定のアプリケーション、サーバーを診断してほしいというリクエストが多かったのですが、最近は、システム全体をチェックしたいというユーザーが増えている印象ですね。