覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版) | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版)

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

特集
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
今日はお集まりいただきありがとうございます。

実は昨日まで、今回の座談会の議題となるテーマや質問を募集していました。20件近くの議題やご質問をお寄せいただきました。この場を借りて御礼を申し上げます。

その中に、Twitterから「何をもって優れているとするのでしょうか? 基準はあるのですか?」という座談会そのもののゴールとも言える質問をいただいています。これからの議論を通じてゴールを目指したいと思いますが、最初にこの質問に答えることで座談会を開始したいと思います。多数のペンテスト案件の発注経験を持つ穴井さんにまず伺います。優れたペンテストサービス、優れたペンテスト企業って、一言でいうと何でしょうか?


アナゴ情報 穴井:
ペンテストは職人ですよね。どこに差があるかというと、深さか網羅性かということになると思いますが、ペンテストを選ぶということは、人を選ぶということと同義だと思います。

うちではもともと、私の以前の同僚がやっている会社にペンテストをお願いしていました。そこからスタートして、その後いろいろな業者を試しました。

たとえば一番名の通った××××とかは、正直料金が高いですし、あとピンキリという印象があります。

いろんな会社にお仕事をお願いしていますが、いいペンテスターがいるかどうかは、たとえばまだ手法が確立していない××××とかの難しい診断で、これまで見つかっていなかった脆弱性が見つかったりすることでわかります。

ですから私は、今では発注する際に「この人なら任せられる」という人を指名しています。しかし、普通指名はできない。だから、誰がやっているのかわからないときには実際に発注して試してみるしかありません。

個々のスキルに依存しないように、レビューの仕組みなどで標準化して誰がやっても同じようにしているところもありますが、実際に試すと担当者による違いが出てきます。だから人を選ぶことと同義であると考えます。


エボシダイネット 恵方:
ただ、ユーザ企業から見ると一般的には安定したサービス、人に依存しないサービスが求められている現状があります。


上野:
ペンテストは実績を聞いても社名まではもちろん教えてくれません。業種と件数くらいです。それはあまり検討材料にならない。ツールを実行して終わりなのかも知れないからです。実際、ツールだけでやってる企業って、最近は減っているんでしょうか。


アナゴ情報 穴井:
××××と思います。ツールだけでサービスを始めている会社もあります。××××としてやっていたりするので、逆に増えているかも知れません。


ウナギコム 宇野:
最近、ツールの監査用のライセンスを売って欲しいという依頼がたまにあります。


上野:じゃあ、その社名を挙げていけばダメなところがわかりますね。割合はどうでしょう。ちゃんとやってるところとツールだけのところ。


アナゴ情報 穴井:
ホントに誠実にちゃんとやっているところは実に少ないですから、数えられます。やっている人が見えて、なおかつ信頼できるところは、それこそ、××××、××××、××××など合計××社か××社くらいじゃないですか。まあ、「優れた」というのは、ユーザがどこまで求めるかにもよりますが。


上野:
どこまで求めるかという話が出たところで、ここで、「診断」と「ペネトレーションテスト」という言葉を整理しておきたいと思います。どちらも似た意味で使われていますが、穴井さんは少し違うものとして考えていましたよね。


アナゴ情報 穴井:
私は「診断」は挙動までと考えています。一方「ペネトレーションテスト」は、例えば実際にコードを書くなどして、その脆弱性でどんな悪さができるかの証明まで行う違いがあると考えています。

※本記事はダイジェスト版です。有料版に全文を掲載しました
《ScanNetSecurity》

編集部おすすめの記事

特集

ペネトレーションテスト

ペンテスト

覆面座談会

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×