――脆弱性診断という仕事に、脆弱性をたくさん見つける以外にどんなゴールがあるんですか?脆弱性検知はもちろん重要です。しかし「他社で見つからなかった脆弱性を見つけてくれた」と言っていただくことに、決して満足しないようにしています。当社ではセキュリティ診断を、脆弱性を数多く「見つける」ことよりも、お客様のシステムをよりセキュアで安全な状態に「導く」ことが重要だと考えています。NTTデータ先端技術はお客様に「質問の多いセキュリティ会社」と呼ばれています。それは、仕事に着手する前に私たちが、ヒアリングの時間をいただいて、たくさんの質問をするようにしているからです。――どんな質問をするのですか。お客様のシステム全体について、システムの内容はもちろん、構築時期、セキュリティ方針、ネットワーク構成、利用ユーザー数などを確認させていただき、今回どのような目的で診断を受診されるのかヒアリングするようにしています。また診断実施期間中においても、お客様システムの特有の使い方や、重要情報などを都度確認しながら、診断作業を進めます。だからこそ、単に脆弱性を見つけるだけでなく、お客様に合った適切なサービスを提供することができ、診断後の対策方針などのアドバイスについても円滑におこなえているように思います。そして、その結果お客様のシステムをより安全な状態に導くことができていると思っています。――たくさんの質問をすることが、検知率と満足度の向上につながっているということですね。わかりませんが、それがお客様のシステムの安全とサービスの向上に通じているとしたら嬉しい限りです。――見つかった脆弱性を報告した後の、改修や対策も重要ですね。診断結果レポートに記載させていただくセキュリティ対策は、理想的な対策ではあるものの、実際に構築・運用している現場の方々にとっては、実施が困難なものや、システムへの影響を考慮して、すぐに対応できないケースも少なくありません。そのような場合に、現実的な対処方法を探すコンサルティングを行います。診るだけでなく「治す」「今後も新たな脆弱性が出ないような対策を講じる」診断サービスでありたいと考えているからです。上流工程の仕様によって作り込まれる脆弱性の話をしましたが(前回「セキュリティ診断で検知される脆弱性の傾向に変化あり」を参照)、いまやサービスの安全性を本当に高めたいなら、セキュリティ診断で見つかった問題点を一つ一つ修正していくだけではもう不十分である現実を示していると思います。――脆弱性を見つけるだけの診断サービスはコモディティ化していく可能性もありますね。しかし、そんなサービスを支えるには、ヒアリングや業務理解など、診断技術以外の幅広い知識やスキルを持つ人材の確保と育成が重要ですね。
![[インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21284.jpg)
