賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.04.18(木)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
 2018年1月16日付配信記事「サイバーセキュリティ技術者の『職人技』どこまで標準化できるか」において本誌は、株式会社SHIFT SECURITY の取り組みを紹介しました。

 記事では、同社が脆弱性診断業務の本格的な標準化に挑戦し完成させるまでの、着手から完了までの道のりを時系列に沿って駆け足でレポートしました。

 記事の最後には「この試み(註:脆弱性診断業務の標準化を指す)が正しいかどうかは今後、ユーザー企業と市場によって審判が下される」という一文が置かれました。少々強い言葉遣いは、「脆弱性診断業務標準化」という試みが、単なるサービス向上等にとどまらない、セキュリティサービスの新しいあり方の提案を、ユーザーと市場に対して行っていると取材時に感じたからでした。

●ツール型からハッカー型へ

 脆弱性診断は黎明期、診断ツールを用いて行う「ツール型診断」が主流でした。その後2005年頃から、攻撃者視点を持ちセンスのある技術者(≒ホワイトハッカー)が、ツールを用いながらも目視し、診断員の経験や勘に基づいて手動で診断を行う、いわば「ハッカー型診断」が提案され、市場に浸透していきます。

 ハッカー型診断はその後、脆弱性診断サービスの主流になりました。現在診断業務でトップクラスと呼ばれる企業は、こぞって腕に覚えのある技術者を採用・育成し、ブランドを高め事業を拡大しました。

 ハッカー型診断でサービス水準を左右するのは在席する診断員の技術力です。その技術力を測る尺度として用いられたのが、DEF CON CTF や SECCON などの国内外のハッカー競技や、バグバウンティ、JVN 等への脆弱性報告件数などでした。

●ハッカー型診断ただ一つの欠点

 ハッカー型診断に唯一存在した欠点は人材確保の厳しさでした。スター・ウォーズの「ジェダイ」のような匠の技術者は大量に採用も育成もできないのです。優れたセンスは方法論で伸ばすことができず、即戦力となる人材の採用にはコストがかかります。そのため、前述のトップクラスの診断企業を中心に、ユーザー企業側が診断業務をたとえ発注したくても、待ち行列が長くて発注できないといった、「人」に起因する問題が発生するようになりました。

●職人技能を標準化

 SHIFT SECURITY は、これまでセンスのある職人的技術者の努力によって支えられていた脆弱性診断業務というサービスが持つ「人」に起因する問題を、親会社である株式会社SHIFT が持つ職人的技能を標準化するノウハウにしたがって棚卸を行い仕組み化することで解消し(約半年間かけて行われた仕組み化の過程は前回記事参照)、量産不可能とされてきた診断業務を、あたかもフォード式工場へ変革するように変えることで、適正な価格で、必要充分な高いクオリティのサービスを、均質に大量供給することに挑戦したのでした。

 ここには同時に、顧客は診断サービスに対し「技術力」と同じくらいあるいはそれ以上に「コスト」「納期」「利用したいときにできる利便性」「均質性」などの性能を求めている、という仮説がありました。

●「人が診断するなんて大丈夫?」と言われた時代

 ところで、現在本流となっている「ハッカー型診断」ですが、「ツール型診断」が主流だった時代、登場した当初は、多くのユーザー企業から「人間が診断を行うなんて大丈夫なのか? 抜けや漏れが出ないのか?」と不信を持たれ、決してすぐ受け入れられた訳ではありませんでした。

 長い時間が流れ、技術優位の考え方が浸透した現在の日本の診断サービス市場で、SHIFT SECURITY の標準化されたサービスは、果たしてどのように理解(あるいは誤解)されたのか、前回の取材から半年が経過し、診断員をさらに増員しているという SHIFT SECURITY を訪ね、下記の5つの質問をぶつけてみました。

質問1:標準化された新しい診断サービスのビジネス状況は?

質問2:現在の診断員の人数は?

質問3:標準化された診断サービスを歓迎したのはどんなユーザー企業か?

質問4:標準化された診断サービスへのユーザー企業の反応は?

質問5:診断サービス標準化へのセキュリティ業界の反応は?

  1. 1
  2. 2
  3. 3
  4. 続きを読む

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 伝説的ハッカーグループ出身者が大統領候補に(The Register)

    伝説的ハッカーグループ出身者が大統領候補に(The Register)

  2. 複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

    複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

  3. 不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

    不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

  4. ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

    ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

  5. 宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

    宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

  6. 「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

    「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

  7. 通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

    通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

  8. 人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

    人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

  9. いまや攻撃サーバは海外には無い(The Register)

    いまや攻撃サーバは海外には無い(The Register)

  10. [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

    [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

ランキングをもっと見る