賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか 3ページ目 | ScanNetSecurity
2020.02.22(土)

賞賛、誤解、戸惑い、興味 ~ セキュリティ診断標準化を市場はどう受けとめたか

「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向 業界動向
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。
脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能(作業者の判断が不要)な作業単位までブレイクダウンは行われる。 全 1 枚 拡大写真
●まとめ

 診断チームを内製してしまうレベルの一握りのハイエンドなユーザー企業以外には SHIFT SECURITY の診断業務の標準化の価値は充分に理解されておらず、それを変えるためには今後、 SHIFT SECURITY 自身による積極的な啓発や情報発信が必要かもしれません。願わくばその際は「ネクストジェネレーション脆弱性診断」などといった陳腐な名称が使われないことを祈ります。

 しかし、ユーザーに真価を理解されなくても、リピート率が約4割あるという事実は、「コスト」「納期」「利用したいときに利用できる利便性」「均質性」などの性能が、技術水準と同等に、脆弱性診断サービスを利用するユーザーに求められていた証左と言えるかもしれません。

 また、セキュリティ業界には、「現場技術者層の戸惑い」、それと正反対の「経営層による関心」という、ふたつの立場が存在するようです。

 実はSHIFT SECURITY は、創業当時から、決して標準化できない、高度な職人しか発見できない領域の存在を公然と認めていました。診断業界を標準化一色に染めるのではなく、繰り返しのルーティン作業の部分などを積極的に標準化サービス側が担い、高度な職人的技術者は、彼らが本来クリエイティビティを発揮すべき仕事だけに専念してもらうという構想は、設立記者会見でも述べられていました。

 現在、トップクラスの診断企業ですら、採用難と需要過多によって診断業務の内製をあきらめ、外部へとアウトソースしている現状があり、今後 SHIFT SECURITY には、業界各社とのさまざまな協業・連携の取り組みが期待されます。

 最後に、フォード式工場による自動車の大量生産は、それまで富裕層の一種の嗜好品だった乗用車を大衆化しただけではなく、自動車工場で働く労働者の所得を倍増させ、その結果、工場労働者が自動車のオーナーになるという夢を実現しました。セキュリティの職人技能の標準化によって生まれるさまざまな可能性に、今後も注目したいと思います。

株式会社SHIFT SECURITY
https://www.shiftsecurity.jp/
  1. «
  2. 1
  3. 2
  4. 3

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

    NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

  2. 複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

    複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

  3. 職業技術専門校メール誤送信、謝罪メールは一斉送信システムで送る(大阪府)

    職業技術専門校メール誤送信、謝罪メールは一斉送信システムで送る(大阪府)

  4. SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ)

    SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ)

  5. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  6. 保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

    保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

  7. ホームセンターWebサイトが改ざん被害、別サイトへ誘導(ケーヨー)

    ホームセンターWebサイトが改ざん被害、別サイトへ誘導(ケーヨー)

  8. 国際的に広がるデータ保護規制が生むビジネス上のリスク対応支援(パロアルトネットワークス、TMI P&S)

    国際的に広がるデータ保護規制が生むビジネス上のリスク対応支援(パロアルトネットワークス、TMI P&S)

  9. 6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM)

    6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM)

  10. JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

    JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

ランキングをもっと見る