[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断
NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。
特集
特集
PR
上野:新しい動きといえば、例えばIoTやAIについてはどうでしょうか。これらの技術を脆弱性診断に取り入れたりする動きはあるのでしょうか。
梁:動きはあります。個人的にも研究しています。IoTではないですが、新しい取り組みとしてはブロックチェーンの診断も行っています。ブロックチェーンはデータがチェーンに保存されれば安全ですが、その前の段階のトランザクション処理に対してはやはり診断は必要です。
薮本:スマートホームのシステムに対して診断した経験はあります。脆弱性診断のメニューにIoT機器は今後入ってくるでしょう。
梁:AIは、サーバーのログ、アクセスログなどを分析してSQLインジェクションなどを検出する技術が考えられます。
上野:診断そのものをAIで自動化する考えはないのですか。
薮本:ツールなどを利用して自動化、効率化を図ることはありますが、いまのところ、基本は手動による診断です。SQLインジェクションやXSSに関する脆弱性は、ツールでかなり発見できるので、使い分けます。
梁:ツールと手動によるハイブリッド方式もありますが、機械は最終的な脆弱性の判断はできません。そこは人間がチェックしなければならないので、併用がお勧めですね。自動化とは関係ありませんが、SQLインジェクションのチェック、フォームにシングルクォートをひとつだけ入力したら、サイトが落ちたことがありました。なにが起きたのかしらべたところ、パスワードファイルが消えていました。プログラムの実装ミスだったのですが、診断によって隠れていたバグが見つかることもあります。
黄:トラフィックを監視していると、ツールが原因と思われるスキャンが増えるんですよね。サーバーによってはそれが負荷になることもあります。
《ScanNetSecurity》
関連記事
![[Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21899.jpg)
この記事の写真
![[取材中の一コマ] なんと梁氏は編集人上野の著書の韓国語版(写真)の翻訳を担当](/imgs/p/Yfh-B0fwN_mP9a9t7EwZKgsJtAe6BQQDAgEA/22157.jpg)
![[取材中の一コマ] 編集人上野の著書の韓国語版の著者略歴欄](/imgs/p/Yfh-B0fwN_mP9a9t7EwZKgsJtAe6BQQDAgEA/22158.jpg)
/
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
Windows DNS の脆弱性情報が公開
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
-
インフォマート 公式 Facebook ページに不正ログイン
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認