覆面座談会 「優れたペネトレーションテスト会社の選び方」 開催のおしらせ

2011年9月29日(木) 14時20分
このエントリーをはてなブックマークに追加
日頃当誌をご愛読いただきありがとうございます。

このたび当誌では、下記のテーマで情報セキュリティの専門家・有識者をお招きし、座談会形式のフリーディスカッションを実施し、会議の模様を有料メールマガジンScanNetSecurityを中心に掲載いたします。

記念すべき第一回のテーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。読者のみなさまに有益な内容となるよう、議題の選定と準備を進めております。

趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

そのため、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきます。

現在ScanNetSecurityでは、日頃情報セキュリティの実務や管理、発注等に関わる読者の皆様から、覆面座談会 第一回「優れたペネトレーションテスト会社の選び方」において、話題にしてほしい議題や、関係識者への質問を募集しております。

例「ペネトレーションテスト、脆弱性診断はユーザー側に選定するための知識や基準が無いまま、企業選びが行われていないか」

例「どんな検査が、どんな対象についてどこまで安全を担保してくれるのかがわからない」


ペネトレーションテストサービスを利用する企業の皆様、ペネトレーションテストに携わる担当者の皆様、ペネトレーションテストサービスを販売する営業担当者の皆様の中で、議題やテーマをお寄せいただける方は、下記のお問い合せフォームから、10月6日までに、お気軽にご連絡いただけますと幸いです。

お問い合わせフォーム
http://goo.gl/GNcWD
または、@ScanNetSecurity、@sen_u宛にTweetしてください

ScanNetSecurity編集人 上野宣




追記
現在下記の議題・トピックをいただいております(updated:2011年10月5日)

・各ベンダーの実力を測る指標として、一般企業向け(PCIDSSとは全然関係ない)についても、ASV認定の有無は参考になりますか?
・定期的に脆弱性スキャンやASVスキャンを実施している企業(お客様)の数
・スポットなど一度きりのスキャンに留まっている企業(お客様)の数はどんな数(割合でもよいです)になりますか?
・さらに内部監査などでお客様自身が脆弱性スキャンをされた上で外部監査を依頼してくるケースはどのくらい(の割合)になりますか?
(以上問い合わせフォームから)

・この類の健康診断は定期的に行うべき?また頻度は? (@marinedolf)

・診断後にセキュリティインシデントが発生したことがありますか?(笑 (@marinedolf)

・この業界にセカンド・オピニオン的な制度はないのでしょうか?(@marinedolf)

・ RetinaやAppScan,Nessusなどの商用ソフトの出力レポートをちょこっと加工したなんちゃって業者がどれだけいるのか実状を知りたいです。(問い合わせフォームから)

・業界外の人にとっては「ペネトレーション会社」自体が知られていない気がしますが。いわんや優劣をや。(bogus blog)

・テスターの人たちのキャリアについて。その仕事につくまでどんなことをしていたか。(そこにたどり着くまでのキャリアパス) なぜその職務に就こうと考えたのか。経緯。(@cchanabo )

・診断会社を選定する立場として、客観的に優劣を見分ける方法はあるのでしょうか。(お問い合わせフォームから)

・売り込みに来る会社は多くあれど、違いを見抜くのは難しいです。どのような提案をしてくれる会社を信用すべきでしょうか。(お問い合わせフォームから)

・弊社では脆弱性診断事業を内製化する動きがあるのですが、何に重点を置けば「優れたペネトレーションテストが実施できますでしょうか。(お問い合わせフォームから)

・若干テーマからは逸れますが、昨今の脆弱性診断ツールの精度はどれほどなのでしょうか。やはり人手には敵わないのでしょうか。(お問い合わせフォームから)

・これもツールの話ですが、専門家から見て、良いと考える脆弱性診断ツールはどれでしょうか。多く使われているツールでも構いません。(お問い合わせフォームから)

・ペネトレーションテストは、優れた感覚を持つ特定の「職人」がおこなうものですか?それともチームとして仕事をしているのでしょうか?(@ymzkei5)

・育成はどのようにおこなわれていますか? (@ymzkei5)

・あなたの会社に、ギョーカイで有名な優れたペネトレーションテスターが居るとして、その方にテストを実施してもらうように“指名”することは出来ますか?(@ymzkei5)

・何をもって優れているとするのでしょうか?基準はあるのですか?(@kna0ya)


お問い合わせフォーム
http://goo.gl/GNcWD
または、@ScanNetSecurity、@sen_u宛にTweetしてください

《ScanNetSecurity》
RSS

特集・連載

ピックアップフォト