ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

ドルマークがシャープに変わる瞬間〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ 辻 伸弘

特集 特集

SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなどと呼ばれるもので、ネットワーク上のコンピュータやネットワーク機器に対して、実際の攻撃手法を用いて、検査対象のセキュリティがどの程度のレベルであるのかを調査する。同氏はマイクロソフトのセキュリティ コミュニティ メンバにもなっており、しばしばコラムも執筆している。今回は同氏にペネトレーションテストの内容から、テストにかける愛情、さらにはセキュリティや脅威の動向に至るまでお話をうかがった。このインタビューの内容を2回にわたって紹介していく。

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

────

>>他のベンダと一緒に安全なシステムを作り、提供していくことがスタート

─現在なさっているお仕事について教えてください

辻氏(以下敬称略):
仕事は主にペネトレーションテストを担当しています。ペネトレーションテストとは、サーバの脆弱性を検査するものです。サーバのセキュリティ上の脆弱性には、設定に関するもの、ソフトウェアのバグによるもの、運用に関するものの3つに大きく分けることができます。ペネトレーションテストでは、このうち人為的な設定の不備や、ソフトウェアのバグがサーバ上に存在するかどうかを技術的な観点から検査します。

具体的には、実際にサーバにアタックをかけて調べます。アタックは自動化されたツールも使用しますが、このようなツールには誤検知や非検知が発生することがあります。このため、複数のツールを詳細に検証し、どのようなときに誤検知や非検知が発生するのか、ツールのクセをつかむように心がけています。また、ツールだけでは本当のものをつかむことはできないと考えているので、複数の手法を併用してテストを行っています。

ペネトレーションテストによって発見された脆弱性は、その内容を報告するだけでなく、修正方法のご提案も行います。しかし、単に脆弱性の修正を行っただけでは、ソフトウェアや特定の機能が使えなくなるなど、業務が不便になってしまうこともあります。そのため、テストの結果は「報告会」という形で行います。システム担当の方をはじめ、場合によってはほかの部分を担当しているベンダの方も含めた数十人を相手にプレゼンテーション形式で報告することもあります。

報告会では、「この部分に問題があるから、このような処置をしなさい」といったことは言いません。企業などのネットワークでは、複数のベンダの製品が混在していることが多くなっています。このため、運用の立場で全体を見ながら最適な解決策を見いだしていかなければなりません。たまに他のベンダの方から「揚げ足を取るな」というようなことを言われたりしますが、私たちの仕事は「欠点を指摘すること」ではなく、他のベンダの方々と一緒に安全なシステムを作り、提供していくことだと思っています。それがスタートなんですよね。

>>学校は「きっかけをつかむための時間をもらう」場所

─この業界に入ろうと思ったきっかけは何でしょう?

辻:
高校生の頃に初めて自分のPCを持ちました。まだWindows 95の時代で、使っているときにWindows 95のOSの脆弱性のひとつだったポート139への攻撃を受けてクラッシュしたことがあるんです。それまで、どんなものでも「製品」は完全なものが提供されているものと思っていました。でも、通常ではない特殊な操作によって不具合を起こすことがある、不完全なものが製品として販売されているという事実に驚きました。

また、不具合をパッチによって修正できるということも新鮮な驚きがありました。この実体験が、直接のきっかけだったと思います。当時はインターネットも遅く高い時代でしたが、現在のような規制がほとんどない、ある意味無法地帯でした。ネットを探せば表から裏まで、いろいろな情報が入手できることも新鮮でしたね。

その後は専門学校で、さまざまなプログラミングを学びました。この頃はコンピュータの基礎を学びたいと考えていて、ドメインを販売する会社でバイトをしたりしました。いろいろなマシンがたくさんある専門学校は、まさに最適な環境でした。卒業研究ではVBでバックドアを作りましたよ(笑)。専門学校に限らず、学校というものは習う内容よりも「きっかけをつかむための時間をもらう」場所なんですよね。

>>大いなる力には大いなる責任が伴う

─この仕事のおもしろさ、また価値についてどうお考えですか?

辻:
ペネトレーションには「貫通」という意味があります。つまり侵入できるかどうかのテストを行っているわけです。普段の仕事は、情報収集や検証といった地味な作業がほとんどです。でも、侵入できる「穴」を見つけたときの喜びは大きいですね。「$」が「#」に変わった瞬間はエキサイティングです。(注1)この喜びはおそらく、釣りに似ているのではないかと思います。いろいろな情報を集めてデータを吟味し、場所やエサなどを工夫した上で釣り糸を垂らし、長時間待って当たりが来た感覚ですね…

注1:UNIXなどでは、ユーザー権限では「$」で表示されるコンソール画面でのプロンプト記号が、root権限になると「#」に変わる。「$」が「#」に変わるということは、そのシステムのroot権限を得た、つまり乗っ取りに成功したことになる。

【執筆:吉澤亨史】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×