賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか 2ページ目 | ScanNetSecurity
2019.12.12(木)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
●質問1:SHIFT SECURITY診断サービスのビジネス状況は?

 最初にビジネスの進捗状況を尋ね、主要な経営数値に関し、以下の回答を得ました。

(1)診断社数 … のべ130社を超える企業に対しセキュリティ診断を提供

(2)新規顧客割合 … 新規引き合いが増加、現在約6割が新規

(3)リピート率:約4割、特にエンタープライズ顧客のリピート率が高い

●質問2:現在の診断員の人数は?

 現在 SHIFT SECURITY には、総勢 50名を超える、脆弱性診断業務に従事するメンバーが在籍しているそうです。SHIFT SECURITY が短期間に人を増やすことができたのは、標準化の成功によって「採用」の問題が完全に解消されたことに尽きるでしょう。「正確性」「スピード」「伝達能力」など一定の基礎能力を持てば、どんな人でも(将来的にはたとえ日本語を解さない人材であっても)診断員として業務を行うことができる仕組を確立しています。

●質問3:標準化された診断サービスを歓迎したのはどんなユーザー企業か?

 「待ってました!」 一部のユーザー企業は、診断サービス標準化をこう迎えたそうです。そのほとんどは「数多くの診断サービスを使い倒したヘビーユーザー層」で、社内の診断需要が多く、トップクラスの診断企業のほとんどすべてを利用してきた実績があり、それでも供給が足りず自社で診断員を育成し診断内製化を行っているような、いわば診断サービスの“プロフェッショナル”的なユーザー企業でした。彼らはほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

●質問4:標準化された診断サービスへのユーザー企業の反応は?

 しかし、大多数のユーザー企業が、一度の説明では標準化の意義やメリットについて理解することができませんでした。SHIFT SECURITYがサービス内容を説明すると、その後でユーザー企業の担当者から返ってくる質問は決まっており、「なるほど、つまり御社は人ではなくツールによる診断がメインのサービスということですね」というやや見当外れな誤解だったそうです。

ハッカー型診断ではない = ツール型診断である

 という、セキュリティ診断の歴史を、世代ひとつさかのぼった価値観からの勘違いといえるでしょう。

●質問5:診断サービスの標準化へのセキュリティ業界の反応は?

 セキュリティ業界の反応はといえば、診断を行う現場の職人エンジニア層には残念ながらあまり肯定的な反応は存在しなかったそうです。SHIFT SECURITY の試みは、冒頭で挙げた例に従うなら「ジェダイの騎士が登場しない世界観で新作を作る」ようなものです。そこには、「そんなの私の好きだったスター・ウォーズじゃない」的な、大切なものがなくなったという思いが必ず存在することでしょう。

 反対にセキュリティ企業の経営層や、診断事業の責任者らの関心は高く、サービス水準を向上させ、何より採用難の苦しみや引き抜きの恐れから脱却でき、事業を思うままにスケールさせうる有効な手段として、一定の評価を与えたということです。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

    業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

  2. リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

    リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

  3. ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

    ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

  4. 業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

    業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

  5. マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

    マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

  6. 3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

    3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)

  7. 脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

    脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)

  8. 同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

    同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

  9. 不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

    不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)

  10. 不正アクセスで10ヶ月分の決済情報が流出、カード不正利用の可能性も(モーターマガジン社)

    不正アクセスで10ヶ月分の決済情報が流出、カード不正利用の可能性も(モーターマガジン社)

ランキングをもっと見る