[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 5ページ目 | ScanNetSecurity
2025.10.25(土)

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集 特集
PR
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏 全 8 枚 拡大写真
●IoT、ブロックチェーンの脆弱性診断

上野:新しい動きといえば、例えばIoTやAIについてはどうでしょうか。これらの技術を脆弱性診断に取り入れたりする動きはあるのでしょうか。

梁:動きはあります。個人的にも研究しています。IoTではないですが、新しい取り組みとしてはブロックチェーンの診断も行っています。ブロックチェーンはデータがチェーンに保存されれば安全ですが、その前の段階のトランザクション処理に対してはやはり診断は必要です。

薮本:スマートホームのシステムに対して診断した経験はあります。脆弱性診断のメニューにIoT機器は今後入ってくるでしょう。

梁:AIは、サーバーのログ、アクセスログなどを分析してSQLインジェクションなどを検出する技術が考えられます。

上野:診断そのものをAIで自動化する考えはないのですか。

薮本:ツールなどを利用して自動化、効率化を図ることはありますが、いまのところ、基本は手動による診断です。SQLインジェクションやXSSに関する脆弱性は、ツールでかなり発見できるので、使い分けます。

梁:ツールと手動によるハイブリッド方式もありますが、機械は最終的な脆弱性の判断はできません。そこは人間がチェックしなければならないので、併用がお勧めですね。自動化とは関係ありませんが、SQLインジェクションのチェック、フォームにシングルクォートをひとつだけ入力したら、サイトが落ちたことがありました。なにが起きたのかしらべたところ、パスワードファイルが消えていました。プログラムの実装ミスだったのですが、診断によって隠れていたバグが見つかることもあります。

黄:トラフィックを監視していると、ツールが原因と思われるスキャンが増えるんですよね。サーバーによってはそれが負荷になることもあります。

  1. «
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 続きを読む

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

  5. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

ランキングをもっと見る
PageTop