賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか 3ページ目 | ScanNetSecurity
2019.11.21(木)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
●まとめ

 診断チームを内製してしまうレベルの一握りのハイエンドなユーザー企業以外には SHIFT SECURITY の診断業務の標準化の価値は充分に理解されておらず、それを変えるためには今後、 SHIFT SECURITY 自身による積極的な啓発や情報発信が必要かもしれません。願わくばその際は「ネクストジェネレーション脆弱性診断」などといった陳腐な名称が使われないことを祈ります。

 しかし、ユーザーに真価を理解されなくても、リピート率が約4割あるという事実は、「コスト」「納期」「利用したいときに利用できる利便性」「均質性」などの性能が、技術水準と同等に、脆弱性診断サービスを利用するユーザーに求められていた証左と言えるかもしれません。

 また、セキュリティ業界には、「現場技術者層の戸惑い」、それと正反対の「経営層による関心」という、ふたつの立場が存在するようです。

 実はSHIFT SECURITY は、創業当時から、決して標準化できない、高度な職人しか発見できない領域の存在を公然と認めていました。診断業界を標準化一色に染めるのではなく、繰り返しのルーティン作業の部分などを積極的に標準化サービス側が担い、高度な職人的技術者は、彼らが本来クリエイティビティを発揮すべき仕事だけに専念してもらうという構想は、設立記者会見でも述べられていました。

 現在、トップクラスの診断企業ですら、採用難と需要過多によって診断業務の内製をあきらめ、外部へとアウトソースしている現状があり、今後 SHIFT SECURITY には、業界各社とのさまざまな協業・連携の取り組みが期待されます。

 最後に、フォード式工場による自動車の大量生産は、それまで富裕層の一種の嗜好品だった乗用車を大衆化しただけではなく、自動車工場で働く労働者の所得を倍増させ、その結果、工場労働者が自動車のオーナーになるという夢を実現しました。セキュリティの職人技能の標準化によって生まれるさまざまな可能性に、今後も注目したいと思います。

株式会社SHIFT SECURITY
https://www.shiftsecurity.jp/
  1. «
  2. 1
  3. 2
  4. 3

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 社内パソコンのウイルス感染、複数顧客から不審メール受信の連絡(ニッポンレンタカーサービス)

    社内パソコンのウイルス感染、複数顧客から不審メール受信の連絡(ニッポンレンタカーサービス)

  2. プライベート情報全収集しマネタイズする社会実験応募者へメール誤送信、損害賠償実施予定(Plasma)

    プライベート情報全収集しマネタイズする社会実験応募者へメール誤送信、損害賠償実施予定(Plasma)

  3. 新システム開発の再委託先が不正アクセス、国体参加者と公認スポーツ指導者データが削除(日本スポーツ協会)

    新システム開発の再委託先が不正アクセス、国体参加者と公認スポーツ指導者データが削除(日本スポーツ協会)

  4. ガートナーが考える「攻撃者視点」とは──脅威ベースのペネトレーション・テスト(TLPT)最新動向

    ガートナーが考える「攻撃者視点」とは──脅威ベースのペネトレーション・テスト(TLPT)最新動向

  5. 楽天プライムを利用できないとする偽メールを確認(フィッシング対策協議会)

    楽天プライムを利用できないとする偽メールを確認(フィッシング対策協議会)

  6. 電子カルテ上のデータを目視し入力したファイルを私用のUSBメモリで持ち出し紛失(島根大学)

    電子カルテ上のデータを目視し入力したファイルを私用のUSBメモリで持ち出し紛失(島根大学)

  7. レイセオン社の「航空」サイバーセキュリティ対策製品と攻撃実証(The Register)

    レイセオン社の「航空」サイバーセキュリティ対策製品と攻撃実証(The Register)

  8. オムロンの制御システム向けソフトに複数の脆弱性(JVN)

    オムロンの制御システム向けソフトに複数の脆弱性(JVN)

  9. ダブルチェックを怠りお知らせメールを誤送信、1,305件のアドレスが流出(すららネット)

    ダブルチェックを怠りお知らせメールを誤送信、1,305件のアドレスが流出(すららネット)

  10. Windows 7などのサポート終了に対し、現状と支援施策を発表(日本マイクロソフト)

    Windows 7などのサポート終了に対し、現状と支援施策を発表(日本マイクロソフト)

ランキングをもっと見る