このページの本文へ

攻めと守りの視点で挑む
「SOLTAGE」セキュリティ

ペネトレーションテスト担当者が語る
現場の挑戦と手応え

  • ペネトレーションテストサービス

    山田 和政

インタビュイー山田さんの写真

はじめに

クラウドサービスの普及とともに、企業のITインフラは複雑化の一途をたどっています。こうした状況において、より的確で実効性のあるセキュリティ対策が求められるなか、「SOLTAGE」では多層的な視点からリスクを可視化する「ペネトレーションテストサービス」を展開しています。

今回は、そのサービスを立ち上げ、実際の現場でテストを行ってきた山田和政さんにお話を伺いました。ペネトレーションテストが担う役割や導入による成果、さらにサービスを支える技術者チームの取り組みについて詳しくご紹介します。

山田さんの対応サービスと、担当することになった経緯を教えてください。

山田和政(以下、山田):現在は、2023年に立ち上げた「SOLTAGE」内の「ペネトレーションテストサービス」を担当しています。

弊社では、クラウドセキュリティソリューションの強化を進めており、IDaaSやCNAPPなど、新しいソリューションを次々と市場投入しています。

お客さまにとってはセキュリティ対策の選択肢が一挙に増えますので、適切なガイドラインが必要になります。そのため、「ペネトレーションテストサービス」を新たなラインナップに加えました。

「ペネトレーションテストサービス」では、お客さまのセキュリティ対策の弱点を特定し、改善の方針を提示することができます。
お客さまが弊社のサービスを組み合わせて、セキュリティのグランドデザインを描く最初のきっかけを作ることが、当サービスを立ち上げた狙いです。

キヤノンITソリューションズの「ペネトレーションテストサービス」は、経済産業省の定める「情報セキュリティサービス基準」に適合したサービス

「ペネトレーションテストサービス」の内容や効果、貴社ならではの特長を教えてください。

山田:もっとも強調したい事は、弊社の「ペネトレーションテストサービス」は、経済産業省の定める「情報セキュリティサービス基準」に適合したサービスだということです。そのため、お客さまのセキュリティ状況に対してきちんと根拠を示し、説明可能な報告書を出すことが可能です。

私が所属する「サイバーセキュリティラボ」は、ペネトレーションテストを含めた、サイバーセキュリティに関する調査・研究・情報発信を担う組織です。マルウェア解析やネットワーク分析の経験が豊富な人間が集まった、いわゆるドリームチームです。

「サイバーセキュリティラボ」のペネトレーションテスターは、国際的なセキュリティの資格を持ち、ベストプラクティスに沿ってテストを実施できる人間が揃っていることが、2つ目のポイントです。

ネットワーク内で「どうすれば攻撃者の通信を見つけることができるか」という具体的なアドバイスが可能

「SOLTAGE」セキュリティサービスの開発・運用における貴社の強みと成果を教えてください。

インタビュー中の山田さん

山田:これまで蓄積してきた、セキュリティの実務から得た知見が多数あることに尽きると思います。

「サイバーセキュリティラボ」が最初に始めたサービスが、マルウェア解析です。マルウェアのことを知り尽くしているからこそ、どうすればマルウェアを検知できるかというアドバイスも可能です。

私自身としては、以前、スレットハンティングを担当していました。その経験から、ネットワーク内で「どうすれば攻撃者の通信を見つけることができるか」という具体的なアドバイスが可能です。

そういった積み重ねがあるから、現在のペネトレーションテストを開発できたと思いますし、今後もさらにボリュームを増していけると思っています。

情報システム部門の方からよくご相談いただくのが、「セキュリティをさらに強化したいが、経営層の承諾を得るのが難しい」というお悩み

お客さまの課題解決について、事例を挙げてご説明いただくことはできますか?

山田:お客さまが「ペネトレーションテストサービス」をお求めになる際、情報システム部門の方からご相談いただくケースが多く、共通のお悩みを抱えていらっしゃいます。それは、「セキュリティをさらに強化したいが、経営層が承諾してくれないので、説得できるような実証付きのアドバイスがほしい」というものです。

以前、私が現場に入った案件では古いネットワーク機器が使われており、現場では更新を望む声があるものの、会社の方針としては「問題なく使えているなら更新の必要はない」という状況でした。そのお客さまに対して「ペネトレーションテストサービス」をご提供し、ネットワーク機器の脆弱性を手順付きでご報告しました。

後日お客さまからご連絡をいただいたところ、それを機に社内でリスクの見直しが行われ、現在はバージョンアップに向けてのスケジュールを調整しているというご回答をいただくことができました。

どうすれば効果を最大化できるかを、お客さまと一緒に探していくことを心がけています

ペネトレーションテストにおいて、特に苦労を感じる部分を教えてください。

山田:セキュリティが非常に強固で、ペネトレーションテストを行っても指摘する余地がほとんどないときです。お客さまのセキュリティを今よりも向上させるための情報をより多くご提供するために、ペネトレーションテスターとして何ができるか考える必要があります。

ペネトレーションテストには、行ってもあまり効果の得られない領域があります。たとえば、あるSaaSプラットフォームによってがっちり守られている場合、追加のペネトレーションテストを行っても、得られるものが少ないのです。

その場合、「ペネトレーションテストにかけるコストとスケジュールを、VPNからの侵入リスクを測ることに使ったらどうでしょうか」というような提案をすることもあります。

このように、どうすれば効果を最大化できるかを、お客さまと一緒に探していくことを心がけています。そのためにも、お客さまと事前の打ち合わせを密にして、きちんと理解していただくことを大事にしています。

「最適なテストシナリオの提案」「セキュリティのプロフェッショナルによるテスト」「わかりやすい結果報告」

そういう努力が、貴社のペネトレーションテストの信頼につながるのですね。

山田:弊社の「ペネトレーションテストサービス」には、3つの特長があります。「最適なテストシナリオの提案」「セキュリティのプロフェッショナルによるテスト」「わかりやすい結果報告」という内容ですが、まさに、それを体現した事例だと思います。

セキュリティ人材の不足を、お客さまだけで解決する必要はない

ユーザー企業においてセキュリティ強化を行う上で、セキュリティに関する知見や人材不足が課題として挙げられます。「SOLTAGE」セキュリティサービスで解決できることを教えてください。

インタビュー中の山田さん

山田:私個人としては、セキュリティ人材の不足を、お客さまだけで解決する必要はないと思っています。

「ペネトレーションテストサービス」には、攻撃者の視点で脆弱性を検証できるペネトレーションテスターの存在が欠かせません。

しかし、お客さま自身でペネトレーションテスターを雇用することは困難であるため、「SOLTAGE」の「ペネトレーションテストサービス」を活用して、問題を解決していただきたいと思っています。

「SOLTAGE」は、メニューごとに細分化されています。費用的にすべてのサービスを導入するのは難しいというお客さまであれば、セキュリティの部分だけを切り出して、おまかせいただくことも可能です。

技術研修や外部講習の受講を推奨し、常に最新のセキュリティスキルをフォローアップ

セキュリティの知見やノウハウを積み上げるために、日々どのような努力をされていますか?

山田:弊社のペネトレーションチームでは、お客さま対応などの業務だけでなく、技術研修や外部講習の受講を推奨し、常に最新のセキュリティスキルをフォローアップできるようにしています。

弊社では、「Hack The Box」というSaaSを使用しています。脆弱性を持ったサーバーの環境が演習用に提供され、定められたルールのなかで自由に攻撃できるというサービスです。

その他にも社内で構築した演習環境を舞台にして、コンテスト形式で実技を競い合うイベントも企画しており、こういった環境を使った実習が、ペネトレーションテストのスキルアップに大きく役立っていると思います。

また、資格取得にも力を入れています。IPAの情報処理技術者試験や、国際的なセキュリティ資格もそうですが、資格取得のための学習は、体系的に知識を習得できます。そのため、非常に効率がよく、スキルの向上につながります。

潜在的な脆弱性を報告することで、被害が発生する前に適切なセキュリティ対策を講じられるよう支援

日々の業務のなかで、どのような部分にやりがいを感じますか?

山田:やりがいを感じるのは、セキュリティインシデントの温床となる隠れた脆弱性をお客さまに報告し、実際に被害を受ける前にセキュリティ対策を完了できたときです。

また、現在、私はマネジメントを行う立場なので、チームメンバーのレベルアップが可視化されたときにもやりがいを感じます。

最近、取り組んでいる案件では、ペネトレーションテストを一緒に実施してきた中堅メンバーを、リーダーに任命しました。

段取りよく進め、お客さまにも分かりやすく進捗を報告するなど、安心感のあるペネトレーションテストを行っている姿を見たときは、非常にうれしく感じました。

「SOLTAGE」セキュリティにおいて、現在抱えている課題と今後の取り組みについて教えてください。

山田:ありがたいことに、現在、ペネトレーションテストのご依頼を非常に多くいただいている状況です。お客さまからのご要望に、いかに迅速に対応する体制の構築が課題となっているため、手続きの効率化はもちろん、ペネトレーションテスターの人材育成にも注力しています。

中途採用や新卒で入社したメンバーを、効率的にペネトレーションテスターのレベルに引き上げるようなトレーニングも始めています。2026年から2027年にかけて、その効果が表れることを期待しています。

セキュリティのプロがコンシェルジュとして最適な提案ができる体制を整えています

サイバーセキュリティ対策に悩む企業に、アドバイスやメッセージをお願いします。

インタビュー中の山田さん

山田:ITシステムの複雑化に伴い、セキュリティ対策に求められるスキルも広く複雑になっています。お客さま自身でフォローしようとするのは、本来業務に割くべきリソースを圧迫するため、現実的ではありません。

お客さまご自身で抱え込まず、専門家に相談することが、課題解決の第一歩だと思います。弊社でも、セキュリティのプロがコンシェルジュとして最適な提案ができる体制を整えていますので、いつでもご相談ください。

セキュリティサービス トップへ戻る

他の担当者インタビューを見る