2024.04.26(金)
清水氏がこれまでに TLPT チームの一員として参加し経験した TLPT の具体的実施手順について話を聞いた。
![遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/25781.jpg)
実践的なセキュリティ対策評価を行うペネトレーションテストについて、その概要や動向を解説するとともに、ペネトレーションテストを実施する中で得られた知見や、それを活用することで組織にとってどのように役に立ったのかという経験談まで、広く深く掘り下げていきます。
「待ってました!」 診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。
デジタルハーツは、クラウドソーシングセキュリティサービスを提供する米Synack社と協業し、「クラウドソーシング脆弱性検査サービス」の提供を開始すると発表した。
セキュリティ診断事業のこうした特徴や課題は、熟練職人が支えていた時代の金型製造やソフトウェアテストの業界とよく似ている。
セキュリティ診断サービスは、診断員の属人性が高く、「サービス品質」=「優秀な診断員の在席」である時代が長らく続いてきた。
![[インタビュー] セキュリティ診断会社の「脆弱性を見つける以外のシゴト」(NTTデータ先端技術) 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/21285.jpg)
山下「サービスの安全性を本当に高めたいなら、セキュリティ診断で見つかった問題点を一つ一つ修正していくだけではもう不十分である現実を示していると思います。」
![[インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術) 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/21284.jpg)
山下「NTTデータ先端技術では、脆弱性を見つけることを仕事のゴールと考えていないところに理由があるかもしれません。」
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/20559.jpg)
「セキュリティ業界は、社会を守る使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、有志のエンジニア達を成長させるひとつの有効な方法だと思っています。(武井)」
「どのユーザーも決して管理者としてログインするべきではない」と Salous は語った。「テクノロジーの部署では、それぞれのスタッフのために個別の admin アカウントを作成せよ」
昨年配信した「優れたペネトレーションテスト会社の選び方」をご好評に応じてPDFデジタルブック化しました。本日より販売いたします。診断企業探しでお悩みの企業様はご利用下さい。
情報セキュリティのプロフェッショナルの皆様に役に立つ情報をお届けするために、ScanNetSecurityでは10月某日、専門家をお招きして、都内某所で座談会形式でディスカッションを実施しました。
この数ヶ月、企業を狙った大規模な個人情報漏えい事件が頻発している。記憶に新しいソニー関連子会社、Google、シティバンク等々、サイバー攻撃による事件は収束する気配がなく、グローバルに広がり、とどまるところを知らない。
グローバルセキュリティエキスパート株式会社(GSX)は7月21日、企業の保有する情報システムのセキュリティ脆弱性検査を、社内で内製化して実施するノウハウを解説するセミナーを都内で開催する。
