遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018] | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.20(土)

遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018]

実践的なセキュリティ対策評価を行うペネトレーションテストについて、その概要や動向を解説するとともに、ペネトレーションテストを実施する中で得られた知見や、それを活用することで組織にとってどのように役に立ったのかという経験談まで、広く深く掘り下げていきます。

研修・セミナー・カンファレンス セミナー・イベント
「幅広い層や業界のみなさんにペネトレーションテストを正しく、十分に知っていただきたい」Internet Week 2018 プログラム委員/SecureWorks Japan 株式会社 中津留 勇 氏
「幅広い層や業界のみなさんにペネトレーションテストを正しく、十分に知っていただきたい」Internet Week 2018 プログラム委員/SecureWorks Japan 株式会社 中津留 勇 氏 全 1 枚 拡大写真
11月27日から11月30日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2018 ~知ればもっと楽しくなる!~」が、浅草橋のヒューリックホール&カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC) 2 が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

情報セキュリティに関するプログラムの見どころを語ってもらう企画の3回目は、開催2日目の11月28日(水)に行われるプログラム「企業のサイバーセキュリティ最新戦略」の第3部「知れば組織が強くなる! ペネトレーションテストで分かったセキュリティ対策の抜け穴」について、Internet Week 2018 プログラム委員でSecureWorks Japan株式会社の中津留 勇氏に話を聞いた。

―― このテーマのどこがホットなのですか?

標的型攻撃による機密情報窃取被害などが発生している中、自社の多層防御が本当に有効なのか? 脅威から守りきれるのか? 攻撃を検知できるのか? などを評価するペネトレーションテストが求められるようになりました。日本でも以前からペネトレーションテストは行われていますが、最近では脅威ベースのペネトレーションテストなど海外で発展した「より実践的な」ペネトレーションテスト手法が注目されるようになってきており、変化の時期を迎えています。このような状況の今だからこそホットトピックであるわけです。

―― このプログラムのテーマと今年のテーマ「知ればもっと楽しくなる!」はどのように関わりますか?

ペネトレーションテストを行うと単純なソフトウェアの脆弱性や設定不備とは異なる様々な気付きを得ることができます。思いもよらない手法で突破されてしまったとき、その脆さを認識し、対策すべきことが明確になり、それに向かうモチベーションができるという点は「知ればもっと楽しくなる!」というテーマに通じるものがあると考えています。

―― これと似たテーマのセミナーは少なくないと思います。Internet Weekならではの点はどこですか? どういうところに配慮して準備や講師依頼をしましたか?

ペネトレーションテストの調査報告を金融庁が出しているように、その取り組みは金融業界などで進んでいます。しかしながらサイバー攻撃はどの組織でも起こりうることです。Internet Weekはインターネットに関わる幅広い層や業界の方が参加することもあり、みなさんにペネトレーションテストを正しく、そして十分に知っていただけるようなセッション構成にしました。ペネトレーションテスト実務者だけが集まって、その経験を語るだけではなく、ペネトレーションテストを実際に取り入れて組織を強くした経験や海外を含めた動向など、ペネトレーションテストに関する広い内容をカバーしています。

―― このプログラムの対象者はどのような方ですか?

ペネトレーションテストに興味がある方はもちろんですが、このセッションのタイトルの通り、組織を強くするという目的を持つみなさんに参加していただきたいと思っています。

―― 最後に、読者にメッセージをお願いします。

ペネトレーションテストに関して幅広く、そして充実した内容はなかなか他では聞けません。「企業のサイバーセキュリティ最新戦略」のひとつとして、みなさんの企業や組織のセキュリティ強化の一助となると確信しています。多くの方のご参加をお待ちしております。

●プログラム詳細

「D2-3 知れば組織が強くなる!ペネトレーションテストで分かったセキュリティ対策の抜け穴」
https://www.nic.ad.jp/iw2018/program/d2/d2-3/

- 開催日時:2018年11月28日(水) 16:15 ~ 18:45
- 場所:ヒューリックホール&カンファレンス(浅草橋)
- 料金:事前11,000円/当日16,000円
※ このパートは「第1部 サイバー攻撃最前線2018」と「第2部 もう一人で困らない!セキュリティ対応のアウトソース」とあわせて、1日プログラムとなる

16:15~17:10
丸ごと分かるペネトレーションテストの今
石川 朝久(NRIセキュアテクノロジーズ株式会社 主任セキュリティコンサルタント)
- ペネトレーションテストとは、攻撃者視点でシステム・組織のセキュリティ対策を評価・確認する手法で、欧米諸国を中心に広く活用されています。本セッションでは、ペネトレーションテストの概要、ペネトレーションテストがどう組織を強くするのか、そして国内外の動向について幅広く解説します。

17:10~17:45
Sansanがペネトレーションテストを受けてきた3年間の記録
河村 辰也(Sansan株式会社 CSIRT CISO補佐)
- Sansan、Eightを提供するSansan株式会社が2016年から3年間毎年ペネトレーションテストを受けてきた背景や、改善していくために作ってきた組織、取り組んできた施策など現場に近い目線でお話します。

17:50~18:45
ペネトレーションテスト実務者座談会
小河 哲之(三井物産セキュアディレクション株式会社)
北原 憲(株式会社ラック)
大塚 淳平(NRIセキュアテクノロジーズ株式会社)
サイフィエフ ルスラン(株式会社イエラエセキュリティ)
中津留 勇(SecureWorks Japan 株式会社)
- ペネトレーションテストはさまざまな手法を用い、Active Directory の掌握などのゴールをめざします。そのためソフトウェアの脆弱性や設定不備はもちろん、人や組織体制の脆さといった点まで発見・評価することが可能です。このセッションでは、ペネトレーションテストで発見した見落しがちな抜け穴について、経験豊富なペネトレーションテスターがこれでもかと言うほど語り倒します。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  2. 「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

    「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

  3. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  4. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

  5. イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

    イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

  6. 華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

    華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

  7. より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

    より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

  8. 複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

    複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

  9. クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

    クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

  10. 経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

    経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

ランキングをもっと見る