2026.06.14(日)
- 注目検索ワード
最後にペネトレーションテストをやる側と、ユーザー企業として発注する側で、何かこういうところに気をつけるといいポイントがあれば最後にまとめとしていただけないでしょうか。
会社の方針というかポリシーのひとつに「お客様を超越する」っていうのがあったんですよ。「期待を絶対的に超える」っていう。
いいとは必ずしも言えないシナリオはですね、まず「ペンテストを実施する側が勝手に決めたシナリオ」、もうひとつが「顧客の環境、ユーザー環境に即していないシナリオ」この二つは良くないシナリオと言えるんじゃないかと思っています。
「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって。
ペネトレーションテストはそれと同じと思っています。お客さんは何かを気にしていて、そうされないように、攻撃されないようにネットワークやインフラを作っているので、その有効性をちゃんと検証していくのがシナリオの基本になってくる。
イード銀行は全社事業発表会の開催を明日に控えていた。セキュリティ統括部 部長兼 iSIRT リーダーの速水は、チーム全員を招集し、セキュリティ統括部の発表内容に関して最終打ち合わせを行うのだが・・・
だから「良くないシナリオ」とまず言えるのは、お客さんが打った対策を「含んでいない」シナリオです。
まさかそんなと思うかもしれないが優れたセキュリティ製品ほど説明が上手でないケースがある。
頭の中に閃くものがあった。あれだけの力を持っている夏神がオレのところに来た理由がやっとわかった。
「それが一番効果的。相手の攻撃力を落としつつ、こちらの攻撃力がアップする。つまり最高」
2022年5月、WithSecureのイベント「Sphere 22」のプレスツアーに参加しました。その個人的レポートです。
残念ながらディストピア・アニメなんですよ。工藤さん、なにか情報持っていたら教えてください。SNSは完全にこの話題で持ちきりです。リサーチャーの連中はSNS征圧兵器が使用された可能性を疑ってます。
「それってつまりお前らがオレの部屋から出て行くってこと? 大賛成だね」
なんだかおおげさだなと思ったが、それは決しておおげさではなかったことは作戦開始とともにすぐにわかった。
今日もどこかで情報漏えいは起きている。
世の中にはこういうヤツがどれだけいるんだろう? ネット世論を勝手に操って競争相手を叩いたり、社会を思う方向に誘導したりしている正体不明の連中。薄ら寒くなる。
「ブラックゲーム社が“B級ハッカー狩り”に関与している証拠をメディアとSNSにばらまいて世論を誘導する。そのためにあたしたちと一緒にトロールの操作をしてもらう」
「諸君! 時は来たようだ」
夏神が立ち上がった。目がらんらんと輝いている。やる気満々だ。
すごくイヤな予感がする。夏神の顔を見ると、相変わらず固いが目が明らかに楽しそうだ。世の中にはぎりぎりの状況、戦いの中で生きている実感を味わうのが好きな人間がいる。こいつもきっとそうだ。
夏神が鋭い目でオレをにらむ。緊急ならメッセージか通話で指示した方が早いだろ。オレは肩をすくめてビールをコップに注ぐ。夏神がオレを怒鳴りつけそうな感じで大きく口を開ける。
今日もどこかで情報漏えいは起きている。
