[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集特集

397 views

2017.4.19 Wed 8:15 PR

左から NHN テコラス株式会社黄氏、同梁氏、ScanNetSecurity編集人上野、NHN テコラス薮本氏全 8 枚拡大写真

●IoT、ブロックチェーンの脆弱性診断

上野：新しい動きといえば、例えばIoTやAIについてはどうでしょうか。これらの技術を脆弱性診断に取り入れたりする動きはあるのでしょうか。

梁：動きはあります。個人的にも研究しています。IoTではないですが、新しい取り組みとしてはブロックチェーンの診断も行っています。ブロックチェーンはデータがチェーンに保存されれば安全ですが、その前の段階のトランザクション処理に対してはやはり診断は必要です。

薮本：スマートホームのシステムに対して診断した経験はあります。脆弱性診断のメニューにIoT機器は今後入ってくるでしょう。

梁：AIは、サーバーのログ、アクセスログなどを分析してSQLインジェクションなどを検出する技術が考えられます。

上野：診断そのものをAIで自動化する考えはないのですか。

薮本：ツールなどを利用して自動化、効率化を図ることはありますが、いまのところ、基本は手動による診断です。SQLインジェクションやXSSに関する脆弱性は、ツールでかなり発見できるので、使い分けます。

梁：ツールと手動によるハイブリッド方式もありますが、機械は最終的な脆弱性の判断はできません。そこは人間がチェックしなければならないので、併用がお勧めですね。自動化とは関係ありませんが、SQLインジェクションのチェック、フォームにシングルクォートをひとつだけ入力したら、サイトが落ちたことがありました。なにが起きたのかしらべたところ、パスワードファイルが消えていました。プログラムの実装ミスだったのですが、診断によって隠れていたバグが見つかることもあります。

黄：トラフィックを監視していると、ツールが原因と思われるスキャンが増えるんですよね。サーバーによってはそれが負荷になることもあります。