[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 4ページ目 | ScanNetSecurity
2025.12.16(火)

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集 特集
397 views
facebookLINE
PR
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏 全 8 枚 拡大写真
●脆弱性診断と侵入テストの関係

上野:僕も参加しているOWASPでも脆弱性診断のガイドラインを作っていますが、チェックリストは大事ですね。侵入テストとセットで行うこともありますし。

薮本:そういえば上野さんは侵入テストもやられますよね。実際、どんなテストをするんですか。

上野:まず最初にやるのは標的型攻撃メールを調査対象に送ります。規模にもよりますが、どんな会社でもだいたい5~10%はメールを開封して、マルウェアに感染します。その後、攻撃に必要なツールをパッケージ化したエクスプロイトキット※を使って脆弱性を探したり、内部に侵入できれば、ファイルサーバーやレポジトリを探し回って、「password」といったキーワードで検索をかけて「獲物」を探します。共有サーバーでも、探すとパスワードファイルや個人情報の入ったファイルが見つかったりします。あとは、ネットワークセグメントがどうなっているかを探ったり、予想したりして、ネットワーク構成図を把握します。

梁:韓国では、侵入テストと脆弱性診断をセットで行うところは多いですね。クライアントもそれを希望しますし、診断で問題なしとでても、「それはおかしいのではないか? ちゃんと診断してるのか」というユーザーもいるくらいです。

上野:そのあたり、日本のユーザーの意識は変わってきていますか。

薮本:僕は2007年ごろから脆弱性診断をやっていますが、当初は特定のアプリケーション、サーバーを診断してほしいというリクエストが多かったのですが、最近は、システム全体をチェックしたいというユーザーが増えている印象ですね。

  1. «
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 続きを読む

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 社内システム不当操作 送配電事業者の従業員が電気を約 9 年間不正使用

    社内システム不当操作 送配電事業者の従業員が電気を約 9 年間不正使用

  2. スキー場の早割リフト券を販売している EC サイトに不正アクセス、利用者からの問い合わせで発覚

    スキー場の早割リフト券を販売している EC サイトに不正アクセス、利用者からの問い合わせで発覚

  3. 新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス

    新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス

  4. STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

    STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

  5. Pep Up への不正アクセス、リスト攻撃とメールアドレスに生年月日記載でメールによる 2 段階認証突破された侵害事例

    Pep Up への不正アクセス、リスト攻撃とメールアドレスに生年月日記載でメールによる 2 段階認証突破された侵害事例

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP