情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。テーマは「優れたペネトレーションテスト会社の選び方」です。ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。●参加者一覧(敬称略)・アナゴ情報ソリューションズ株式会社 穴井 昭彦略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者・株式会社イイダコシステム 飯田 生馬略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖・ウナギコミュニケーションズ株式会社 宇野 右京略歴:高いシェアを誇る自動診断ツール「Eel Analyzer」の販売を行う企業で研究開発を行うエンジニア・株式会社エボシダイネットワークス 恵方 栄一略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません・司会進行 ScanNetSecurity編集長 上野 宣---上野:読者から「何に重点を置いたら優れたペネトレーションテストが実施できるか」という質問が来ています。この質問をペンテストを実施する技術者の立場でちょっと考えてみたいと思います。ウナギコム 宇野:脆弱性を探すためには、×××を作った人の×××を考えることは有効だと思います。ですから×××ということは最低限必要でしょうね。×××いないと、どういう×××なのかわからないから見落としてしまう。アナゴ情報 穴井:いいペンテンスターは自分で×××と思います。また、顧客視点で考えるとやっぱりレポートです。ここで実力が出ると思います。私はレポートを丁寧に見ています。「サニタイズしてください」の一言で終わっちゃうものもある一方、「どうやったらいいんですか?」って聞くと、口ごもってしまう場合もあります。それこそ、×××ないから答えられないんですよね。知っていてわざと聞いてしまうのですが。上野:どSじゃないですか(笑)アナゴ情報 穴井:無駄なことを書かず、わかりやすく具体的な、本質をとらえたレポートであって欲しい。上野:いいレポートを書くためには×××くらいの知識が必要ですね。アナゴ情報 穴井:直すのは×××ですからね。上野:ペンテストを実施するのは職人がいいのでしょうか。それとも、統制されてマネジメントされたチームがいいのでしょうか。エボシダイネット 恵方:企業の規模によると思います。うちはチーム制で動いています。アナゴ情報 穴井:でも、チーム制の運用で、うまくいかない場合もあると思います。以前、ペネトレーションテストをお願いしていた会社さんが、繁忙期にバイトを入れたりして分業化したらクオリティが下がったという経験があります。全体をマネジメントしきれなくなったのかなと推測しました。コスト効率化のためには正しいことなのですが、管理しきれなくなるとレベルが下がることはあると思います。※本記事はダイジェスト版です。有料版に全文を掲載しました
