ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.18(月)

ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

特集 コラム

前回のテーマ「脆弱性が見つからないのは○○だから?」はいかがだっただろうか。顧客側の期待とは対象的なペンテスターの苦悩について感じて頂けたと思う。映画やドラマでありがちな、キーボードをガシャガシャ叩いて「侵入成功!」のようなハッキングシーン(註1)は実際はあんまりなく、脆弱性が見つからなくて困るということだって現実のペンテストではよくあるのである。

(註1)ダイハード4の衛星をハックするシーンでハッカーが「脆弱性なさすぎ!さすが衛星の守りは固いわw」とかなったら、ブルースウィリスも涙目になること間違いない。でもストーリーの進行上、華麗にハックしなきゃならない。それが映画。

さて、連載2回目となる今回のテーマは前回と真逆の「誰が困る?脆弱性が出過ぎ問題」だ。

脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。簡単に言うと、Webアプリやネットワークから情報が漏洩したり改ざんされてしまう可能性が非常に高いということ事だが、既にサービスインしているものだとするともしかしたら実際に何らかの被害に遭っているケースも想定しなければならない。できればそんな状態であって欲しくないと願いつつペンテストや脆弱性診断を受けるわけだが...。

今回はペンテストで脆弱性が出すぎて困ってしまったケースを取り巻く複数の当事者の目線で見ていきたいと思う。これは筆者が体験した、とあるWebアプリ診断で起きた話である。100画面を超える画面で脆弱性の検出とアプリのエラーが多発し、ユーザ企業では開発遅延、予算超過などあらゆる方面での再調整を余儀なくされてしまったケースだ。ペンテスター、ユーザ企業、さらには開発会社も参加するペンテストの報告会はどのような結末を迎えるのか。

《株式会社キーコネクト 代表取締役 利根川義英》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

人気過去記事

もっと見る

人気過去記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×