ペネトレーションテスターは見た! 第7回「120%の結果が出たペネトレーションテストとは?」 | ScanNetSecurity
2024.07.24(水)

ペネトレーションテスターは見た! 第7回「120%の結果が出たペネトレーションテストとは?」

「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって。

特集 特集
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏
背中で語る男 株式会社式会社キーコネクト 代表取締役 利根川 義英 氏 全 1 枚 拡大写真

 本誌は「セキュリティとは愛の行為ではないか」という仮説に基づいた記事を新春に掲載しましたが、実はその記事が生まれるきっかけとなったのが、本誌に人気連載「ペネトレーションテスターは見た!」を寄稿する、株式会社キーコネクト 代表取締役 利根川 義英 氏への昨 2022 年夏に行ったインタビューでした。

 連載と負けず劣らず、きわめて高密度なインタビューとなったため、記事仕上りまで約半年の時間を要しましたが、必要な期間であったと編集部は認識しています。

 「愛のペネトレーションテスター」利根川氏への、「ペネトレーションテストのシナリオの善し悪し」をテーマに聞いた 16,000 文字に及ぶロングインタビューを堂々全 6 回でお届けします。ペネトレーションテストの発注者及びテスター必読。

--

──ペネトレーションテストのシナリオに必須なことは、想定する脅威に対してお客さんが打っている対策が効果があるのかどうか判定できるか、ということですね。それが利根川さんの考える「これがなきゃ駄目」というところ。

 そうですね。お客さん側に必要なものはそうです。

 ところで、シナリオが客さんの要望に沿っているというのはとても大事なところではあるものの、たとえばシナリオに基づいて診断結果を出していくのが100%とするならば、120%とか200%の結果を出すのが、実はペネトレーションテスターの裏の目標だったりもするんですよ。(笑)

 まっっっったく想定もしていないルートで、そのゴールとなる情報にアクセスして取っていくみたいな。

──つまり、利根川クラスのペネトレーションテスターにとっては、シナリオ通りに結果を出すのは当たり前で「実はここにこんなものがあったんだ」それが見つかってお客さんが感涙随喜というか、その結果が出て、お互い抱き合うみたいなことがあるということですか。

 そうそうそう。(笑) そうです。そうです。(笑)

──そこも裏テーマとして当然狙っていると。

 これを見つけたときはすごく気持ちいいんです。誰も想定していないんですよ。誰も想定していないからこそ120%というか期待を大幅に超える結果になる。

 「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって思うかもしれませんが、ネットワークは生き物なので、管理者がドキュメント上で把握しているネットワークと、実際フタを開けてみたときのネットワークが違うってことが結構あるんです。同じになっていないんです。


《高橋 潤哉( Junya Takahashi )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  3. 東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

    東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

  4. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  5. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

    日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

ランキングをもっと見る
PageTop