情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。テーマは「優れたペネトレーションテスト会社の選び方」です。ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。●参加者一覧(敬称略)・アナゴ情報ソリューションズ株式会社 穴井 昭彦略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者・株式会社イイダコシステム 飯田 生馬略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖・ウナギコミュニケーションズ株式会社 宇野 右京略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア・株式会社エボシダイネットワークス 恵方 栄一略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません・司会進行 ScanNetSecurity編集長 上野 宣---上野:今日はお集まりいただきありがとうございます。実は昨日まで、今回の座談会の議題となるテーマや質問を募集していました。20件近くの議題やご質問をお寄せいただきました。この場を借りて御礼を申し上げます。その中に、Twitterから「何をもって優れているとするのでしょうか? 基準はあるのですか?」という座談会そのもののゴールとも言える質問をいただいています。これからの議論を通じてゴールを目指したいと思いますが、最初にこの質問に答えることで座談会を開始したいと思います。多数のペンテスト案件の発注経験を持つ穴井さんにまず伺います。優れたペンテストサービス、優れたペンテスト企業って、一言でいうと何でしょうか?アナゴ情報 穴井:ペンテストは職人ですよね。どこに差があるかというと、深さか網羅性かということになると思いますが、ペンテストを選ぶということは、人を選ぶということと同義だと思います。うちではもともと、私の以前の同僚がやっている会社にペンテストをお願いしていました。そこからスタートして、その後いろいろな業者を試しました。たとえば一番名の通った××××とかは、正直料金が高いですし、あとピンキリという印象があります。いろんな会社にお仕事をお願いしていますが、いいペンテスターがいるかどうかは、たとえばまだ手法が確立していない××××とかの難しい診断で、これまで見つかっていなかった脆弱性が見つかったりすることでわかります。ですから私は、今では発注する際に「この人なら任せられる」という人を指名しています。しかし、普通指名はできない。だから、誰がやっているのかわからないときには実際に発注して試してみるしかありません。個々のスキルに依存しないように、レビューの仕組みなどで標準化して誰がやっても同じようにしているところもありますが、実際に試すと担当者による違いが出てきます。だから人を選ぶことと同義であると考えます。エボシダイネット 恵方:ただ、ユーザ企業から見ると一般的には安定したサービス、人に依存しないサービスが求められている現状があります。上野:ペンテストは実績を聞いても社名まではもちろん教えてくれません。業種と件数くらいです。それはあまり検討材料にならない。ツールを実行して終わりなのかも知れないからです。実際、ツールだけでやってる企業って、最近は減っているんでしょうか。アナゴ情報 穴井:××××と思います。ツールだけでサービスを始めている会社もあります。××××としてやっていたりするので、逆に増えているかも知れません。ウナギコム 宇野:最近、ツールの監査用のライセンスを売って欲しいという依頼がたまにあります。上野:じゃあ、その社名を挙げていけばダメなところがわかりますね。割合はどうでしょう。ちゃんとやってるところとツールだけのところ。アナゴ情報 穴井:ホントに誠実にちゃんとやっているところは実に少ないですから、数えられます。やっている人が見えて、なおかつ信頼できるところは、それこそ、××××、××××、××××など合計××社か××社くらいじゃないですか。まあ、「優れた」というのは、ユーザがどこまで求めるかにもよりますが。上野:どこまで求めるかという話が出たところで、ここで、「診断」と「ペネトレーションテスト」という言葉を整理しておきたいと思います。どちらも似た意味で使われていますが、穴井さんは少し違うものとして考えていましたよね。アナゴ情報 穴井:私は「診断」は挙動までと考えています。一方「ペネトレーションテスト」は、例えば実際にコードを書くなどして、その脆弱性でどんな悪さができるかの証明まで行う違いがあると考えています。※本記事はダイジェスト版です。有料版に全文を掲載しました
ScanNetSecurity 覆面座談会 「セキュリティ機器はじゃじゃ馬娘?!~現場からの悲鳴と提言」 (3) 若い人たちが伸びていくために 2012.11.16 Fri 18:00 最近、若い人がアップデートの検証ばかりやらされていて、疲弊…