賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか | ScanNetSecurity
2019.12.12(木)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
 2018年1月16日付配信記事「サイバーセキュリティ技術者の『職人技』どこまで標準化できるか」において本誌は、株式会社SHIFT SECURITY の取り組みを紹介しました。

 記事では、同社が脆弱性診断業務の本格的な標準化に挑戦し完成させるまでの、着手から完了までの道のりを時系列に沿って駆け足でレポートしました。

 記事の最後には「この試み(註:脆弱性診断業務の標準化を指す)が正しいかどうかは今後、ユーザー企業と市場によって審判が下される」という一文が置かれました。少々強い言葉遣いは、「脆弱性診断業務標準化」という試みが、単なるサービス向上等にとどまらない、セキュリティサービスの新しいあり方の提案を、ユーザーと市場に対して行っていると取材時に感じたからでした。

●ツール型からハッカー型へ

 脆弱性診断は黎明期、診断ツールを用いて行う「ツール型診断」が主流でした。その後2005年頃から、攻撃者視点を持ちセンスのある技術者(≒ホワイトハッカー)が、ツールを用いながらも目視し、診断員の経験や勘に基づいて手動で診断を行う、いわば「ハッカー型診断」が提案され、市場に浸透していきます。

 ハッカー型診断はその後、脆弱性診断サービスの主流になりました。現在診断業務でトップクラスと呼ばれる企業は、こぞって腕に覚えのある技術者を採用・育成し、ブランドを高め事業を拡大しました。

 ハッカー型診断でサービス水準を左右するのは在席する診断員の技術力です。その技術力を測る尺度として用いられたのが、DEF CON CTF や SECCON などの国内外のハッカー競技や、バグバウンティ、JVN 等への脆弱性報告件数などでした。

●ハッカー型診断ただ一つの欠点

 ハッカー型診断に唯一存在した欠点は人材確保の厳しさでした。スター・ウォーズの「ジェダイ」のような匠の技術者は大量に採用も育成もできないのです。優れたセンスは方法論で伸ばすことができず、即戦力となる人材の採用にはコストがかかります。そのため、前述のトップクラスの診断企業を中心に、ユーザー企業側が診断業務をたとえ発注したくても、待ち行列が長くて発注できないといった、「人」に起因する問題が発生するようになりました。

●職人技能を標準化

 SHIFT SECURITY は、これまでセンスのある職人的技術者の努力によって支えられていた脆弱性診断業務というサービスが持つ「人」に起因する問題を、親会社である株式会社SHIFT が持つ職人的技能を標準化するノウハウにしたがって棚卸を行い仕組み化することで解消し(約半年間かけて行われた仕組み化の過程は前回記事参照)、量産不可能とされてきた診断業務を、あたかもフォード式工場へ変革するように変えることで、適正な価格で、必要充分な高いクオリティのサービスを、均質に大量供給することに挑戦したのでした。

 ここには同時に、顧客は診断サービスに対し「技術力」と同じくらいあるいはそれ以上に「コスト」「納期」「利用したいときにできる利便性」「均質性」などの性能を求めている、という仮説がありました。

●「人が診断するなんて大丈夫?」と言われた時代

 ところで、現在本流となっている「ハッカー型診断」ですが、「ツール型診断」が主流だった時代、登場した当初は、多くのユーザー企業から「人間が診断を行うなんて大丈夫なのか? 抜けや漏れが出ないのか?」と不信を持たれ、決してすぐ受け入れられた訳ではありませんでした。

 長い時間が流れ、技術優位の考え方が浸透した現在の日本の診断サービス市場で、SHIFT SECURITY の標準化されたサービスは、果たしてどのように理解(あるいは誤解)されたのか、前回の取材から半年が経過し、診断員をさらに増員しているという SHIFT SECURITY を訪ね、下記の5つの質問をぶつけてみました。

質問1:標準化された新しい診断サービスのビジネス状況は?

質問2:現在の診断員の人数は?

質問3:標準化された診断サービスを歓迎したのはどんなユーザー企業か?

質問4:標準化された診断サービスへのユーザー企業の反応は?

質問5:診断サービス標準化へのセキュリティ業界の反応は?

  1. 1
  2. 2
  3. 3
  4. 続きを読む

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

    業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

  2. リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

    リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

  3. ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

    ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

  4. 業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

    業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

  5. マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

    マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

  6. 3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

    3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

  7. 脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

    脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

  8. 同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

    同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

  9. 不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

    不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

  10. 不正アクセスで10ヶ月分の決済情報が流出、カード不正利用の可能性も(モーターマガジン社)

    不正アクセスで10ヶ月分の決済情報が流出、カード不正利用の可能性も(モーターマガジン社)

ランキングをもっと見る