覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

覆面座談会「優れたペネトレーションテスト会社の選び方」第2回 診断ツール有効活用(ダイジェスト版)

特集 コラム

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「eel analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
最近の主流のツールは何でしょうか。やはりツールでは×××一強ですか?


ウナギコム 宇野:
×××が多いと思います。最近×××をよく聞きます。×××と×××が2強ですね。×××は安いから売れているというのもあるでしょうけど。


アナゴ情報 穴井:
私は×××の使用・運営実績がある方だと思いますが、ツールの特長を生かせば、×××を網羅的に早く見つけることができます。ツールはそういった効率化のために使うべきだと思います。ツールで事前に脆弱性を見つけて、早い段階で修正しておいて、その後人の手によるペンテストや脆弱性診断を実施する順番がいいと思います。


上野:
実際、ツールでカバーできる範囲というのはどのくらいだと思われますか。


アナゴ情報 穴井:
×割くらいはツールでできます。残る×割は人が見る必要がある。特に、ロジックが絡むような部分や、セッション管理系は、ツールでは見えない部分がかなりあります。


ウナギコム 宇野:
ツールの特性上、×××の×××しか基本的に見ないですから。セッションがある程度進んだ後のページに脆弱性が発生するものは見つからないケースが多いのです。最近はアプリが複雑になって、ツールだと×××は100%近くわかりますが、×××はわからない。見落とすケースが多くなっています。


アナゴ情報 穴井:
早期にバグを発見するためにツールを使って、最後に保証するのは人による脆弱性診断という組み合わせが必要です。×××のためにツールを使うのはいいですが、それは×××を保証するものではないということを忘れてはいけないと思います。


ウナギコム 宇野:
ツールに過信すると×××が絶対出てきます。当社はツールを販売するときに×××もセットで実施します。×××を実施していないところはボロボロです。ツールもクセがありますから、使いこなすには×××がかかるのです。


エボシダイネット 恵方:
ツールと手動を併用した場合に、手動診断をどこまでやるのかを全然お客様が知らないのが現状です。そのために必要な工数で見積りを提示すると「料金が高い」「他社と大幅に開きがある」で終わってしまうこともあります。お客様に説明して理解を得づらい。


上野:
実際に選定の決め手を聞くと「×××」「×××」「×××」などの、×××だったということはよく聞きます。ところで、ネットワークの診断ツールは何がいいんでしょう。


アナゴ情報 穴井:
×××に興味あるんですが高い。検討したのですが値段で折り合いがつきませんでした。×××は買って後悔しました。すごくバグが多い。ツールのトラブル対応するなんてあり得ないです。

ネットワーク診断は、最近高い気がします。IPアドレスあたり×××円とか。昔はそうだったかなって思うくらいです。


エボシダイネット 恵方:
それこそツールのライセンスフィーかもしれませんね。


上野:
×××のライセンス版を買ったんですが、普通に速いです。昔は×××が速い印象がありましたが、反応が良くなかった。×××の認識を間違うとそのままですし。ただ、項目をはしょっているから速いというのも理由にあるかもしれません。

※本記事はダイジェスト版です。有料版に全文を掲載しました
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×