テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術統括部

第三者によるセキュリティ監査の重要性

エンジニア部隊へのお問い合わせはこちらまで


ソフトウェアの世界には第三者検証という言葉があります。開発に関わったエンジニアではない第三者が対象となるソフトウェアもしくはシステムの品質の検証や評価を行うことを指します。
 
ソフトウェアをリリースするためには、必ずテストが必要です。多くの開発現場ではソフトウェアを作った開発者自身が、自ら作ったソフトウェアをテストするという状態になっていますが、本来なら検証のプロにお任せするのがベストであると思っています。
 
人間には思い込みがありますから、自分で開発したものを自身で完全にテストすることは難しく、性悪説的な考え方をすると、自分達で作ったものを自分たちでテストするというのは「泥棒と警察が同じ」状態になってしまいます。
 
テストの世界は実はとてもアカデミックで専門性が問われる分野なんですよね。それでも、多くの経営層の皆さんはテストを軽視する。静的・動的解析ツールの有効性なんてわかるはずもないから、なんでそんな物が必要になるんだ、となる。コーディングの工数に対し、なぜこんなにテストに工数を使うのだ、テストの専門要員なんて不要じゃないか、そんな声はもしかしたら、皆さんの周囲でも聞かれることかもしれません。
 

f:id:terilogy-tech:20191006003653j:plain

※ちなみにこれは私が社内の勉強会で使った本
※ソフトウェア屋さんでなくプロマネの皆さんにもお勧めします

それはネットワークやサーバ、アプリケーションのセキュリティ管理においても同様だと思うんですよ。
 
  • 設置した業者がそのままセキュリティの管理も保守の一環で行う
  • 最初に設置した状態から構成変更などがあるのにパッチングすらしない
こんな状況がよく見られるわけです。
 
泥棒と警察が同じ、とまでは言いませんが、脆弱性というものは日々新しいものが見つけられますし、ネットワークの構成やサーバの設定などは当初の導入から必要に応じて変更されるものなので、当然、セキュリティ強度などというものは、日々、下降していくわけです。極端な話、昨日脆弱性診断をしてOKだとしても、今日、新しい脆弱性が発見され、そこを攻撃されれば終わり、なんてこともあるわけです。
 

f:id:terilogy-tech:20180923043934p:plain

 
自分は自分で守る、つまり、自社で脆弱性の管理ないし、対策をとれる体制を敷くのがベストだと思いますが、なかなかそこまでは難しい。インフラの設計と構築をお願いした業者に、その延長でSOCサービスをお願いすることも多いかと思いますが、第三者のセキュリティ監査を受けることを検討してもよいのではないでしょうか。
 
と、まあ、こんな記事を書いているのは、そういう現場を目の当たりにしたからです。どこぞ、とは言いませんが、つい最近、第三者検証をして、驚くほどの数のクリティカルな脆弱性を見つけました。そういうこともあるのです。
 
社内の会議で報告はしましたが、営業さんがこれを商機と捉えたか、興味がないか、よくわかりませんが、まあ、実際、そんなもんなんですよ。業者によって方法論は違いますし、使っているツールも違えば、色々です。担当した調査員が一軍メンバーなのか、三軍なのかでも変わるかもしれません。
 
ということで、弊統括部ではいくつかライトなサービスを立ち上げたり、認証を取得したりしていますが、サービスというのは、硬くて冷たい金属の箱ではございませんので、なかなか売ってもらえません。しかも、売上金額も大きい部類ではないので、見向きもしてくれない人も多いのかなと思いますので、エントリーレベルのサービスのチラシを最後に貼っておきます。
 

f:id:terilogy-tech:20191006004410j:plain

って、よく見えないやんけwww
 
営業さんに聞いてもたぶん「なんですか?それ」となりそうなので、もしご用命ありましたら、うちのエンジニアに声を掛けて頂ければと存じます。もちろんヘビーなやつもやっております。
 
もっとよいチラシのアップロードサービスや問合せフォーム等ご存じでしたら教えてください...泣。いろいろ調べてはいますが、よくわかりません。
 
アディオス()
 

お問い合わせはこちらまで
エンジニア部隊に直接つながります
コンタクト