賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか 2ページ目 | ScanNetSecurity
2020.07.14(火)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
●質問1:SHIFT SECURITY診断サービスのビジネス状況は?

 最初にビジネスの進捗状況を尋ね、主要な経営数値に関し、以下の回答を得ました。

(1)診断社数 … のべ130社を超える企業に対しセキュリティ診断を提供

(2)新規顧客割合 … 新規引き合いが増加、現在約6割が新規

(3)リピート率:約4割、特にエンタープライズ顧客のリピート率が高い

●質問2:現在の診断員の人数は?

 現在 SHIFT SECURITY には、総勢 50名を超える、脆弱性診断業務に従事するメンバーが在籍しているそうです。SHIFT SECURITY が短期間に人を増やすことができたのは、標準化の成功によって「採用」の問題が完全に解消されたことに尽きるでしょう。「正確性」「スピード」「伝達能力」など一定の基礎能力を持てば、どんな人でも(将来的にはたとえ日本語を解さない人材であっても)診断員として業務を行うことができる仕組を確立しています。

●質問3:標準化された診断サービスを歓迎したのはどんなユーザー企業か?

 「待ってました!」 一部のユーザー企業は、診断サービス標準化をこう迎えたそうです。そのほとんどは「数多くの診断サービスを使い倒したヘビーユーザー層」で、社内の診断需要が多く、トップクラスの診断企業のほとんどすべてを利用してきた実績があり、それでも供給が足りず自社で診断員を育成し診断内製化を行っているような、いわば診断サービスの“プロフェッショナル”的なユーザー企業でした。彼らはほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

●質問4:標準化された診断サービスへのユーザー企業の反応は?

 しかし、大多数のユーザー企業が、一度の説明では標準化の意義やメリットについて理解することができませんでした。SHIFT SECURITYがサービス内容を説明すると、その後でユーザー企業の担当者から返ってくる質問は決まっており、「なるほど、つまり御社は人ではなくツールによる診断がメインのサービスということですね」というやや見当外れな誤解だったそうです。

ハッカー型診断ではない = ツール型診断である

 という、セキュリティ診断の歴史を、世代ひとつさかのぼった価値観からの勘違いといえるでしょう。

●質問5:診断サービスの標準化へのセキュリティ業界の反応は?

 セキュリティ業界の反応はといえば、診断を行う現場の職人エンジニア層には残念ながらあまり肯定的な反応は存在しなかったそうです。SHIFT SECURITY の試みは、冒頭で挙げた例に従うなら「ジェダイの騎士が登場しない世界観で新作を作る」ようなものです。そこには、「そんなの私の好きだったスター・ウォーズじゃない」的な、大切なものがなくなったという思いが必ず存在することでしょう。

 反対にセキュリティ企業の経営層や、診断事業の責任者らの関心は高く、サービス水準を向上させ、何より採用難の苦しみや引き抜きの恐れから脱却でき、事業を思うままにスケールさせうる有効な手段として、一定の評価を与えたということです。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

    情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

  2. 「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

    「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

  3. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  4. 石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

    石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

    最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

  7. 複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

    複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

  8. 新たにBYOD端末からの不正アクセスが判明(NTT Com)

    新たにBYOD端末からの不正アクセスが判明(NTT Com)

  9. なぜハードディスクは消えたのか、これからもまた消えるのか

    なぜハードディスクは消えたのか、これからもまた消えるのか

  10. 顔写真用いたバイパス対策、顔認証にAI利用の「まばたき」検知機能(両備システムズ)

    顔写真用いたバイパス対策、顔認証にAI利用の「まばたき」検知機能(両備システムズ)

ランキングをもっと見る