ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」 | ScanNetSecurity
2019.12.08(日)

ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。

特集 コラム
前回のテーマ「脆弱性が見つからないのは○○だから?」はいかがだっただろうか。顧客側の期待とは対象的なペンテスターの苦悩について感じて頂けたと思う。映画やドラマでありがちな、キーボードをガシャガシャ叩いて「侵入成功!」のようなハッキングシーン(註1)は実際はあんまりなく、脆弱性が見つからなくて困るということだって現実のペンテストではよくあるのである。

(註1)ダイハード4の衛星をハックするシーンでハッカーが「脆弱性なさすぎ!さすが衛星の守りは固いわw」とかなったら、ブルースウィリスも涙目になること間違いない。でもストーリーの進行上、華麗にハックしなきゃならない。それが映画。

さて、連載2回目となる今回のテーマは前回と真逆の「誰が困る?脆弱性が出過ぎ問題」だ。

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。簡単に言うと、Webアプリやネットワークから情報が漏洩したり改ざんされてしまう可能性が非常に高いということ事だが、既にサービスインしているものだとするともしかしたら実際に何らかの被害に遭っているケースも想定しなければならない。できればそんな状態であって欲しくないと願いつつペンテストや脆弱性診断を受けるわけだが...。

今回はペンテストで脆弱性が出すぎて困ってしまったケースを取り巻く複数の当事者の目線で見ていきたいと思う。これは筆者が体験した、とあるWebアプリ診断で起きた話である。100画面を超える画面で脆弱性の検出とアプリのエラーが多発し、ユーザ企業では開発遅延、予算超過などあらゆる方面での再調整を余儀なくされてしまったケースだ。ペンテスター、ユーザ企業、さらには開発会社も参加するペンテストの報告会はどのような結末を迎えるのか。

《株式会社キーコネクト 代表取締役 利根川義英》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×