ペネトレーションテスターは見た！第2回「誰が困る？脆弱性出すぎ問題」

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。

特集コラム

2017.5.24 Wed 8:15

前回のテーマ「脆弱性が見つからないのは○○だから？」はいかがだっただろうか。顧客側の期待とは対象的なペンテスターの苦悩について感じて頂けたと思う。映画やドラマでありがちな、キーボードをガシャガシャ叩いて「侵入成功！」のようなハッキングシーン（註1）は実際はあんまりなく、脆弱性が見つからなくて困るということだって現実のペンテストではよくあるのである。

（註1）ダイハード4の衛星をハックするシーンでハッカーが「脆弱性なさすぎ！さすが衛星の守りは固いわｗ」とかなったら、ブルースウィリスも涙目になること間違いない。でもストーリーの進行上、華麗にハックしなきゃならない。それが映画。

さて、連載2回目となる今回のテーマは前回と真逆の「誰が困る？脆弱性が出過ぎ問題」だ。

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。簡単に言うと、Webアプリやネットワークから情報が漏洩したり改ざんされてしまう可能性が非常に高いということ事だが、既にサービスインしているものだとするともしかしたら実際に何らかの被害に遭っているケースも想定しなければならない。できればそんな状態であって欲しくないと願いつつペンテストや脆弱性診断を受けるわけだが...。

今回はペンテストで脆弱性が出すぎて困ってしまったケースを取り巻く複数の当事者の目線で見ていきたいと思う。これは筆者が体験した、とあるWebアプリ診断で起きた話である。100画面を超える画面で脆弱性の検出とアプリのエラーが多発し、ユーザ企業では開発遅延、予算超過などあらゆる方面での再調整を余儀なくされてしまったケースだ。ペンテスター、ユーザ企業、さらには開発会社も参加するペンテストの報告会はどのような結末を迎えるのか。

ペネトレーションテスターは見た！第2回「誰が困る？脆弱性出すぎ問題」

関連記事

ペネトレーションテスターは見た！第1回「ペンテスターの苦悩～脆弱性が見つからないのは○○だから？」

IPAなどの注意喚起情報では間に合わない～脆弱性を狙う攻撃とその対策（EGセキュアソリューションズ、ジェイピー・セキュア）

NSAの兵器から生まれたランサムウェアが世界で蔓延、MSが緊急パッチ配布～対策方法まとめ：ポート番号からサンプルまで（The Register）

WordPress 4.6 においてPHPMailer の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

この記事の写真

関連リンク

特集

アクセスランキング

VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95％を占める

先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

我が社の IoT 活用の課題総洗い出し～ JSSEC IoT セキュリティチェックシート活用方法

Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

売上規模別に見た全 IT 投資中のセキュリティ予算比率～東証上場企業

イエラエセキュリティ CSIRT支援室第4回「ツール運用組織体制コスト－経営バランスの中で実現するセキュリティの難しさ」

CrowdStrike Adversary Calender 2021 年 1 月（ Velvet Chollima ）

一体どうバランスを取るか？高度なサイバー攻撃対策＆日々のセキュリティ運用PR

ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載