[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 6ページ目

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集特集

366 views

2017.4.19 Wed 8:15 PR

●良い診断サービスとは？

上野：最後はNHN テコラスの脆弱性診断サービスについて伺います。どんな診断サービスを行っていますか。

薮本：NHN テコラスが実施している脆弱性診断には、プラットフォーム診断とWebアプリケーション診断の2つがあります。プラットフォーム診断では、外部からの不正アクセスや侵入に対する脆弱性がないか、あるいは内部からの侵入に対して弱いところがないかを診断します。Webアプリケーション診断では、OWASP TOP10やSANS TOP25といった業界で標準的な脆弱性に対し、最新の攻撃情報、脆弱性情報を加味した診断を行います。国内外のさまざまな企業で脆弱性診断を行ってきた実績が特徴のひとつですが、NHNグループ企業の診断も行っています。NHNグループには、ゲームやソーシャルネットワーク、各種サービスプロバイダが多いのも特徴ですね。

上野：なるほど。広くサービスを提供しつつ高いセキュリティが求められる分野での実績は大きいですね。では、みなさんが考える「良い診断サービス」とはどんなものでしょうか。

梁：問題をクリアできるまで対応してくれるサービスを目指したいですね。グループ内の診断では、発注側も内部の関係者のような感覚で、厳しいことを言ってくることもありますが、一緒に対応に取り組んでくれます。そんな診断サービスを心掛けています。

薮本：レポートを提出して終わりではなく、もっと開発者に寄ったサービスを考えたいです。例えば、100ある攻撃のうち、50の攻撃を行えばほとんどの問題点はわかります。予算が豊富であれば100個の攻撃を試す100点の品質の診断を受けられますが、金額をおさえて90～95点の品質で診断してほしい、といったニーズもあると思います。きめの細かいサービスで、そういった企業でもサービスを使ってもらえればと思います。

黄：私はどちらかというと診断サービスを受ける側なので、アフターケアが充実しているサービスが良いですね。問題解決の支援もそうですが、対策方法のセミナー、教育といったプログラムがあるとうれしいです。

上野：確かに、大手セキュリティベンダーが提供する診断サービスは100を目指すものかもしれませんが、予算や企業規模によって、多くの企業が必要な脆弱性診断を実施できないのも困りますよね。

今回の調査では、診断サービスの選択基準について、多くの企業が料金に見合った技術力があるかどうかを重視していました。単に最上の品質を求めているのではなく、自分たちの予算や希望にあったレベルで選択しているということだと思います。100がいいのはわかっているが、あえて90や95を目指すというのは、時代の要請に応えるサービスなんだと思いました。

本日はお忙しいところありがとうございました。

※調査結果の詳細はダウンロード可能（要登録）。脆弱性診断にかける予算、目的、どんなセキュリティ体制をとっているか、サイバー攻撃被害の有無などのアンケート結果がまとめられている。対談での議論も参考に、自社での脆弱性診断やセキュリティ対策に役立ててほしい