覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.25(月)

覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版)

特集 コラム

情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。

テーマは「優れたペネトレーションテスト会社の選び方」です。

ペネトレーションテストの現場や現状に詳しい識者をお招きし、フリーディスカッションを行うことで、良いペネトレーションテストを実施している会社とビジネスを盛り上げ、なんちゃってペネトレーション会社に御退場いただこうという趣旨です。趣旨にご賛同いただいた参加者の皆様は、国内外の第一線で活躍する方ばかりです。

本座談会は、さまざまな団体や企業の枠を超えて、自由闊達な本音のご意見を頂戴するため、氏名はもちろん、所属組織の商号や名称一切を誌面非公開とする、覆面形式でのディスカッションとさせていただきました。

なお、座談会冒頭では、専門家としてのプロ意識を新たにするために、ビールによる乾杯が行われました。


●参加者一覧(敬称略)

・アナゴ情報ソリューションズ株式会社 穴井 昭彦
略歴:業務上ペネトレーションテストの発注を多数行い、多くのペンテストサービスを利用し一家言持つ。今回唯一のユーザー企業側参加者

・株式会社イイダコシステム 飯田 生馬
略歴:イイダコシステム社のエース級ペネトレーションテスト技術者、「どんなシステムにも穴はある」が口癖

・ウナギコミュニケーションズ株式会社 宇野 右京
略歴:高いシェアを誇る自動診断ツール「Eel Analyzer」の販売を行う企業で研究開発を行うエンジニア

・株式会社エボシダイネットワークス 恵方 栄一
略歴:エンジニアとしてキャリアをスタートしペンテストに数年従事後、現在ペネトレーションテストの第一線を離れプロジェクトマネージャーを務める

※註:参加者一覧の社名、商品名及び氏名は仮名であり実在しません

・司会進行 ScanNetSecurity編集長 上野 宣

---

上野:
読者から「何に重点を置いたら優れたペネトレーションテストが実施できるか」という質問が来ています。この質問をペンテストを実施する技術者の立場でちょっと考えてみたいと思います。

ウナギコム 宇野:
脆弱性を探すためには、×××を作った人の×××を考えることは有効だと思います。ですから×××ということは最低限必要でしょうね。×××いないと、どういう×××なのかわからないから見落としてしまう。

アナゴ情報 穴井:
いいペンテンスターは自分で×××と思います。

また、顧客視点で考えるとやっぱりレポートです。ここで実力が出ると思います。私はレポートを丁寧に見ています。「サニタイズしてください」の一言で終わっちゃうものもある一方、「どうやったらいいんですか?」って聞くと、口ごもってしまう場合もあります。それこそ、×××ないから答えられないんですよね。知っていてわざと聞いてしまうのですが。

上野:どSじゃないですか(笑)

アナゴ情報 穴井:
無駄なことを書かず、わかりやすく具体的な、本質をとらえたレポートであって欲しい。

上野:
いいレポートを書くためには×××くらいの知識が必要ですね。

アナゴ情報 穴井:
直すのは×××ですからね。

上野:ペンテストを実施するのは職人がいいのでしょうか。それとも、統制されてマネジメントされたチームがいいのでしょうか。

エボシダイネット 恵方:
企業の規模によると思います。うちはチーム制で動いています。

アナゴ情報 穴井:
でも、チーム制の運用で、うまくいかない場合もあると思います。以前、ペネトレーションテストをお願いしていた会社さんが、繁忙期にバイトを入れたりして分業化したらクオリティが下がったという経験があります。全体をマネジメントしきれなくなったのかなと推測しました。コスト効率化のためには正しいことなのですが、管理しきれなくなるとレベルが下がることはあると思います。

※本記事はダイジェスト版です。有料版に全文を掲載しました
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  8. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×