ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」 | ScanNetSecurity
2024.06.17(月)

ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。

特集 コラム
ペネトレーションテスター on サンセットビーチ(筆者近影)
ペネトレーションテスター on サンセットビーチ(筆者近影) 全 1 枚 拡大写真
前回のテーマ「脆弱性が見つからないのは○○だから?」はいかがだっただろうか。顧客側の期待とは対象的なペンテスターの苦悩について感じて頂けたと思う。映画やドラマでありがちな、キーボードをガシャガシャ叩いて「侵入成功!」のようなハッキングシーン(註1)は実際はあんまりなく、脆弱性が見つからなくて困るということだって現実のペンテストではよくあるのである。

(註1)ダイハード4の衛星をハックするシーンでハッカーが「脆弱性なさすぎ!さすが衛星の守りは固いわw」とかなったら、ブルースウィリスも涙目になること間違いない。でもストーリーの進行上、華麗にハックしなきゃならない。それが映画。

さて、連載2回目となる今回のテーマは前回と真逆の「誰が困る?脆弱性が出過ぎ問題」だ。

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。簡単に言うと、Webアプリやネットワークから情報が漏洩したり改ざんされてしまう可能性が非常に高いということ事だが、既にサービスインしているものだとするともしかしたら実際に何らかの被害に遭っているケースも想定しなければならない。できればそんな状態であって欲しくないと願いつつペンテストや脆弱性診断を受けるわけだが...。

今回はペンテストで脆弱性が出すぎて困ってしまったケースを取り巻く複数の当事者の目線で見ていきたいと思う。これは筆者が体験した、とあるWebアプリ診断で起きた話である。100画面を超える画面で脆弱性の検出とアプリのエラーが多発し、ユーザ企業では開発遅延、予算超過などあらゆる方面での再調整を余儀なくされてしまったケースだ。ペンテスター、ユーザ企業、さらには開発会社も参加するペンテストの報告会はどのような結末を迎えるのか。

《株式会社キーコネクト 代表取締役 利根川義英》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. 「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

    「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

  4. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  5. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  6. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

  7. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  8. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

ランキングをもっと見る