情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。テーマは「優れたペネトレーションテスト会社の選び方」です。ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。●参加者一覧(敬称略)・アナゴ情報ソリューションズ株式会社 穴井 昭彦略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者・株式会社イイダコシステム 飯田 生馬略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖・ウナギコミュニケーションズ株式会社 宇野 右京略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア・株式会社エボシダイネットワークス 恵方 栄一略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません・司会進行 ScanNetSecurity編集長 上野 宣---上野:最近の主流のツールは何でしょうか。やはりツールでは×××一強ですか?ウナギコム 宇野:×××が多いと思います。最近×××をよく聞きます。×××と×××が2強ですね。×××は安いから売れているというのもあるでしょうけど。アナゴ情報 穴井:私は×××の使用・運営実績がある方だと思いますが、ツールの特長を生かせば、×××を網羅的に早く見つけることができます。ツールはそういった効率化のために使うべきだと思います。ツールで事前に脆弱性を見つけて、早い段階で修正しておいて、その後人の手によるペンテストや脆弱性診断を実施する順番がいいと思います。上野:実際、ツールでカバーできる範囲というのはどのくらいだと思われますか。アナゴ情報 穴井:×割くらいはツールでできます。残る×割は人が見る必要がある。特に、ロジックが絡むような部分や、セッション管理系は、ツールでは見えない部分がかなりあります。ウナギコム 宇野:ツールの特性上、×××の×××しか基本的に見ないですから。セッションがある程度進んだ後のページに脆弱性が発生するものは見つからないケースが多いのです。最近はアプリが複雑になって、ツールだと×××は100%近くわかりますが、×××はわからない。見落とすケースが多くなっています。アナゴ情報 穴井:早期にバグを発見するためにツールを使って、最後に保証するのは人による脆弱性診断という組み合わせが必要です。×××のためにツールを使うのはいいですが、それは×××を保証するものではないということを忘れてはいけないと思います。ウナギコム 宇野:ツールに過信すると×××が絶対出てきます。当社はツールを販売するときに×××もセットで実施します。×××を実施していないところはボロボロです。ツールもクセがありますから、使いこなすには×××がかかるのです。エボシダイネット 恵方:ツールと手動を併用した場合に、手動診断をどこまでやるのかを全然お客様が知らないのが現状です。そのために必要な工数で見積りを提示すると「料金が高い」「他社と大幅に開きがある」で終わってしまうこともあります。お客様に説明して理解を得づらい。上野:実際に選定の決め手を聞くと「×××」「×××」「×××」などの、×××だったということはよく聞きます。ところで、ネットワークの診断ツールは何がいいんでしょう。アナゴ情報 穴井:×××に興味あるんですが高い。検討したのですが値段で折り合いがつきませんでした。×××は買って後悔しました。すごくバグが多い。ツールのトラブル対応するなんてあり得ないです。ネットワーク診断は、最近高い気がします。IPアドレスあたり×××円とか。昔はそうだったかなって思うくらいです。エボシダイネット 恵方:それこそツールのライセンスフィーかもしれませんね。上野:×××のライセンス版を買ったんですが、普通に速いです。昔は×××が速い印象がありましたが、反応が良くなかった。×××の認識を間違うとそのままですし。ただ、項目をはしょっているから速いというのも理由にあるかもしれません。※本記事はダイジェスト版です。有料版に全文を掲載しました
