[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断 6ページ目 | ScanNetSecurity
2024.04.25(木)

[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集 特集
facebookLINE
PR
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏
左から NHN テコラス株式会社 黄氏、同 梁氏、ScanNetSecurity編集人 上野、NHN テコラス 薮本氏 全 8 枚 拡大写真
●良い診断サービスとは?

上野:最後はNHN テコラスの脆弱性診断サービスについて伺います。どんな診断サービスを行っていますか。

薮本:NHN テコラスが実施している脆弱性診断には、プラットフォーム診断とWebアプリケーション診断の2つがあります。プラットフォーム診断では、外部からの不正アクセスや侵入に対する脆弱性がないか、あるいは内部からの侵入に対して弱いところがないかを診断します。Webアプリケーション診断では、OWASP TOP10やSANS TOP25といった業界で標準的な脆弱性に対し、最新の攻撃情報、脆弱性情報を加味した診断を行います。国内外のさまざまな企業で脆弱性診断を行ってきた実績が特徴のひとつですが、NHNグループ企業の診断も行っています。NHNグループには、ゲームやソーシャルネットワーク、各種サービスプロバイダが多いのも特徴ですね。

上野:なるほど。広くサービスを提供しつつ高いセキュリティが求められる分野での実績は大きいですね。では、みなさんが考える「良い診断サービス」とはどんなものでしょうか。

梁:問題をクリアできるまで対応してくれるサービスを目指したいですね。グループ内の診断では、発注側も内部の関係者のような感覚で、厳しいことを言ってくることもありますが、一緒に対応に取り組んでくれます。そんな診断サービスを心掛けています。

薮本:レポートを提出して終わりではなく、もっと開発者に寄ったサービスを考えたいです。例えば、100ある攻撃のうち、50の攻撃を行えばほとんどの問題点はわかります。予算が豊富であれば100個の攻撃を試す100点の品質の診断を受けられますが、金額をおさえて90~95点の品質で診断してほしい、といったニーズもあると思います。きめの細かいサービスで、そういった企業でもサービスを使ってもらえればと思います。

黄:私はどちらかというと診断サービスを受ける側なので、アフターケアが充実しているサービスが良いですね。問題解決の支援もそうですが、対策方法のセミナー、教育といったプログラムがあるとうれしいです。

上野:確かに、大手セキュリティベンダーが提供する診断サービスは100を目指すものかもしれませんが、予算や企業規模によって、多くの企業が必要な脆弱性診断を実施できないのも困りますよね。

今回の調査では、診断サービスの選択基準について、多くの企業が料金に見合った技術力があるかどうかを重視していました。単に最上の品質を求めているのではなく、自分たちの予算や希望にあったレベルで選択しているということだと思います。100がいいのはわかっているが、あえて90や95を目指すというのは、時代の要請に応えるサービスなんだと思いました。

本日はお忙しいところありがとうございました。

調査結果の詳細はダウンロード可能(要登録)。脆弱性診断にかける予算、目的、どんなセキュリティ体制をとっているか、サイバー攻撃被害の有無などのアンケート結果がまとめられている。対談での議論も参考に、自社での脆弱性診断やセキュリティ対策に役立ててほしい
  1. «
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  5. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  10. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

ランキングをもっと見る
ホーム 特集 特集 記事
TOP