●脆弱性診断と侵入テストの関係上野:僕も参加しているOWASPでも脆弱性診断のガイドラインを作っていますが、チェックリストは大事ですね。侵入テストとセットで行うこともありますし。薮本:そういえば上野さんは侵入テストもやられますよね。実際、どんなテストをするんですか。上野:まず最初にやるのは標的型攻撃メールを調査対象に送ります。規模にもよりますが、どんな会社でもだいたい5~10%はメールを開封して、マルウェアに感染します。その後、攻撃に必要なツールをパッケージ化したエクスプロイトキット※を使って脆弱性を探したり、内部に侵入できれば、ファイルサーバーやレポジトリを探し回って、「password」といったキーワードで検索をかけて「獲物」を探します。共有サーバーでも、探すとパスワードファイルや個人情報の入ったファイルが見つかったりします。あとは、ネットワークセグメントがどうなっているかを探ったり、予想したりして、ネットワーク構成図を把握します。梁:韓国では、侵入テストと脆弱性診断をセットで行うところは多いですね。クライアントもそれを希望しますし、診断で問題なしとでても、「それはおかしいのではないか? ちゃんと診断してるのか」というユーザーもいるくらいです。上野:そのあたり、日本のユーザーの意識は変わってきていますか。薮本:僕は2007年ごろから脆弱性診断をやっていますが、当初は特定のアプリケーション、サーバーを診断してほしいというリクエストが多かったのですが、最近は、システム全体をチェックしたいというユーザーが増えている印象ですね。
[Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス)2017.3.1 Wed 11:00
![[取材中の一コマ] なんと梁氏は編集人上野の著書の韓国語版(写真)の翻訳を担当](/imgs/p/rBiHIqOYdKeWny19I-2yIgsJcAd_BAQDAgEA/22157.jpg)
![[取材中の一コマ] 編集人上野の著書の韓国語版の著者略歴欄](/imgs/p/rBiHIqOYdKeWny19I-2yIgsJcAd_BAQDAgEA/22158.jpg)
![[Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21899.jpg)
