こんにちは!ユービーセキュア広報担当の別宮スミレです。
今回はペネトレーションテストサービスのリリースに合わせて、リリース担当のテクニカルコンサルティング部・新サービス開発チームに突撃インタビュー!
新サービス開発チームの紹介とともに、リリースに向けての想いなどメンバー一人一人に語ってもらいました。
(※本インタビューはリリース前に行われました。)

kizaki_profileテクニカルコンサルティング部 新サービス開発チーム リーダー 木崎 修平氏

映像のお仕事からITセキュリティ技術者へと転身。能動的に仕事に取り組むことで自ら楽しい環境を作り出す、新サービス開発チームのリーダー。趣味はランニング。好きなスポーツはサッカー!
【社員インタビュー公開中】https://www.ubsecure.jp/recruit/staff/staff01


usui_profileテクニカルコンサルティング部 新サービス開発チーム 臼井 雄亮氏

「ペネトレーションテスト」のサービスオーナー。仕事も趣味もセキュリティ。陸上自衛隊→求人広告営業→ITインフラ構築・アプリ開発→ITセキュリティという経歴の持ち主。趣味は海外ドラマ視聴。好きなスポーツはテニス!
【OSCP取得奮闘記公開中】https://www.wantedly.com/companies/ubsecure/post_articles/196759


shirahashi_profileテクニカルコンサルティング部 新サービス開発チーム 白橋 朋弥氏

PCI DSS準拠スキャンサービスの立ち上げなどを経て、現在はセキュリティコンサルタントとして、様々な診断要望に応えるべく日々奮闘中。最近、無線LANセキュリティ資格を取得。趣味は庭園めぐり。好きなスポーツはバドミントン!
【OSWP取得奮闘記公開中】https://www.ubsecure.jp/blog/20200721_01


namai_profileテクニカルコンサルティング部 新サービス開発チーム 生井 絢也氏

「PCI DSS準拠スキャンサービス」のサービスオーナー。新サービス開発チームの末っ子。技術力
の高い先輩達に刺激を受けながら、サービス開発や診断業務に邁進中。趣味は筋トレ。好きなスポーツは野球!
【PCI DSS準拠スキャンサービスページ公開中】https://www.ubsecure.jp/assessment/pci

「新サービス開発チーム」のミッション

kizaki_pic

別宮:本日はお時間いただき、ありがとうございます。早速ですが、簡単に所属部署とチームの紹介をお願いします。

木崎:テクニカルコンサルティング部は、主に診断サービスを提供しています。システムに潜むセキュリティ課題の調査、洗い出し、分析を行うことでシステムの安全性を評価します。その中で、今年度新設された「新サービス開発チーム」は、文字通り新しいサービスを開発するチームです(笑)。従来、非定型サービスとしてスポットで提供していたサービスをメニュー化したり、お客様の潜在ニーズを引き出して具現化することをミッションとしています。

別宮:新サービス開発と診断業務とどのくらいの割合でお仕事しているんですか?

木崎:いまはペネトレーションテストのリリースに向けて、ペネトレが7割、診断業務が3割程度の比率ですね。

ユービーセキュアの「ペネトレーションテスト」はどんなサービス?

別宮:リリースに向けてエンジンをかけている状況ですね。そんな新サービス開発チームがリリースした「ペネトレーションテスト」。ずばり、どんなサービスですか?

臼井:ずばり言うと、悪い人になりきってサイバー攻撃を仕掛けるサービスです。システム側がこれをやられたら嫌だな、ということを実際にテストしていきます。

別宮:これまで提供してきた診断サービスと何が違うのですか?

臼井:脆弱性診断は、Webアプリケーションやプラットフォーム、スマートフォンアプリケーション等々、それぞれの対象範囲における「あるべき姿」に対して、網羅的に脆弱性の有無や攻撃成立の可否をチェックします。それに対してペネトレーションテストは、システム側の「これをやられたら嫌だ」、攻撃者の「どう攻撃すれば目的を達成できるか」という観点で攻撃シナリオを準備し、実際に攻撃を仕掛けてみて、目的が達成できるかどうかをシステム全体で総合的に評価します。また運用についても評価できるので、サイバー攻撃が検出できたかどうかも確認することができます。

pentest_release_04

よりお客様やお客様のシステムに寄り添ったサービス提供が可能

別宮:なるほど、、、お客様のシステム環境や攻撃者の目的に応じて、テスト内容は変わってくるんですね。これまでの診断とは少し異なるスキルや技術が必要そうですが、今回ペネトレーションテストをリリースする背景を教えてください。

usui_picture

臼井:これまでもお客様個別のご要望に応じて提供したケースはあったのですが、昨今ペネトレーションテストのニーズや問合せが増えてきていることもあり、正式にサービスとしてリリースしました。

別宮:どんなお問合せをいただきますか?

木崎:最近の案件では、構成図だけもらって「渡せる情報はこれ(論理構成図)だけなんだけど、何か攻撃できる?」というご依頼をいただいたケースがありました。

別宮:ざっくりですね。。。結果はどのようなものだったんでしょう?

木崎:なんと、お客様も全く想定していなかったセキュリティホールを発見しました!お客様から「期待以上のテスト効果を得ることができました」というコメントもいただき、期待値を超えられたという意味でも非常にうれしく感じました。

臼井:その他にも、いままで脆弱性診断とは少し違う観点で「情報漏えいのリスクがないか」や「認証を突破されてサーバへの侵入ができないか」など、さらに一歩踏み込んだ内容のご相談が増えています。

別宮:従来の脆弱性診断の範囲を超えたご要望も増えているのですね。

shirahashi_picture

臼井:はい。「Webアプリ診断やプラットフォーム診断を実施したお客様から、さらなるリスク評価のために追加でペネトレーションテストをしたい」というリクエストがあったり、「システム全体を俯瞰してどんな脅威があるのかを総合的に判断したい」とか、「どういったシナリオでどのくらい攻撃が成立するのかを具体的に把握したい」などなど、様々なご相談をいただきます。

白橋:そうですね。従来の脆弱性診断では、「このような攻撃を受ける可能性があります」という、あくまでも可能性を報告しています。ペネトレーションテストでは、「実際に脆弱性診断で検出した脆弱性を用いてどんな悪いことができてしまうのか」までを検証するので、攻撃を受けた際にどのような被害につながるかまでより深く検証できます。また、決められたチェック項目に対してどうかという観点ではなく、攻撃者の視点でどこから攻めるか、あるいはシステム管理者として守るべきかの観点でチェック項目を作るので、よりお客様のシステムに寄り添ったサービスが提供できると思います。実施内容を精査する過程で、どの順番でどの情報を守りたいのかをあらためて整理することで、お客様自身で今まで把握していなかった重要資産の可視化、資産の優先順位づけもできると思います。

別宮:ペネトレーションテストのサービス体系を教えてください。

木崎:今はお客様にヒアリングをして、一番フィットするテストシナリオをご提案するサービスですが、将来的にはライトプランや、じっくりプランのようなバリエーションを持たせていけたらいいなと思っています。

こちらも読む

数百にのぼる脅威シナリオの用意と継続的なアップデート

別宮:サービスの特徴も教えていただけますか?

木崎:はい。私たちのペネトレーションテストサービスは、創業以来蓄積してきた脆弱性診断サービスやVex開発のナレッジが凝縮されています。もう少し具体的に言うと、脆弱性情報や攻撃手法、攻撃トレンド、システム構成情報や資産の配置先パターンなどなど。それらをもとに、数百の脅威シナリオを用意しており、アップデートし続けています。お客様の環境や資産にあわせた最適なシナリオを素早くご提案できるのが最大の特徴です。

pentest_release_02

臼井:そうですね、期日の決まった急ぎのご依頼の場合でも、事前に用意した脅威シナリオ集からスピーディーに実施内容をご提案できます。事前調整にかかる時間がぎゅっと圧縮できるのはとても喜ばれます。もちろん、お客様固有の環境や資産に応じて、じっくりとヒアリングしたうえでご提案することも可能なので、ご要望にあわせて柔軟に対応していきたいです。

別宮:数百もの脅威シナリオをつくって、さらにアップデートですか!なかなかご苦労もありそうですね。

臼井:あたり前ですがお客様の環境は異なりますし、業界や業種によって特徴があったりもします。お客様のご要望に応える脅威シナリオをつくったり、実際にペネトレーションテストを実施するために、「ITの知識」だけでなく「業務関連の知識」や「世の中にあるWebサービス、SaaSなどの幅広い知識」も必要です。やはり、お客様も様々な外部サービスを導入している中で、システム全体における抜け穴を探す意味でも、私たちも常に知識をアップデートしていく必要があります。

namai_pic

生井:私も、より嗅覚を鍛えるため、最新情報をウォッチすることを意識しています。脆弱性診断であれば、Webアプリ、プラットフォームなど、ある程度領域や備えるべき知識が決まっていますが、ペネトレーションテストはより広く深い知識が必要なので、アンテナ高く、調査は深くやっています。大変ですが、チームで助け合って楽しく活動しています。ペネトレーションテストは様々な知識や経験が必要となるサービスですが、いろいろなバックグラウンドを持ったメンバーが集まっているので、チーム一丸となってそれぞれの強みを活かしていきたいと思います。

白橋:そうですね。各々最新情報を追いかけるとともに、目ぼしい情報を見つけたら全員で共有したり、サービスを提供するうえで全員で抜け漏れがないかのチェックをしたり、よりチーム一体となって動くようになりました。

木崎:実際、今年度からこのチームが発足してから週に1~2回集まって、攻撃シナリオをブレストする会を開催していきました。そういった活動の積み重ね一つ一つが今回のサービスリリースにつながっています。

こちらも読む

それぞれの得意領域、それぞれのアツイ想い

別宮:継続は力なり、、、ですね。ちなみに、それぞれの得意領域はどこになるんですか?

白橋:私は「無線LANのことについては俺にまかせろ!」と思っています。最近、OSWP(Offensive Security Wireless Professional)という無線LANペネトレの資格を取得しました!次は、GPEN(GIAC Penetration Tester)を狙っています。

臼井:私は、OSCP(Offensive Security Certified Professional)ホルダーです。「どんなサーバでもハックしてやるぜ!」と思っています。

生井:私は、CEH(Certified Ethical Hacker)を最近取得しました!

木崎:私は、GCIH(GIAC Certified Incident Handler)を持っています。次は、OSINTの資格であるGOSI(GIAC Open Source Intelligence)の取得を目指しています!

別宮:みなさん、それぞれタイトルホルダーであったり、資格取得を目指して努力してるんですね。

木崎:はい、ペネトレーションテストをサービス提供していくうえで、担当するコンサルタントの技術力を分かりやすく示すためにも、どんどんセキュリティの資格を取得していきたいです。

pentest_release_03

別宮:努力して実際に資格も取得して、さらに上を目指して。みなさんカッコいいです!リリースに向けたアツイ想いをどうぞ!

臼井:最新の攻撃情報や手法などを追いかけながら、チームの持っている力を総動員してサービス提供していきます。「どんなシステムでも攻略します!」という意気込みで頑張ります。

生井:はい、ペネトレーションテストを受診したいお客様も「アツイ想い」を持ってご依頼してきてくださると思うので、その期待にお応えできるようチーム一体となって全力で取り組みたいと思います。

白橋:オフィスでもフリーアドレスや来客用無線LANの導入も広まっていますし、無線LANペネトレの需要が高まると予測して、資格も取得しました。無線LANペネトレ、どんと来い!もちろん無線LANじゃなくても!いつでもご連絡・ご相談をお待ちしています。

「新サービス開発チーム」の今後の展望

別宮:まさにアツイ、、、ですね。最後に、新サービス開発チームの今後の展望についてお聞かせください。

臼井:現状のペネトレーションテストには、物理セキュリティやソーシャルエンジニアリングは含めていないので、今後、経験と知識を積みながらスコープを広げていきたいです。また、品質はもちろんですが、テストの実施スピードにもこだわっていきたいですね。

木崎:ペネトレーションテスト以外にも新しいサービス開発を検討しているので、ぜひ期待していてください!

別宮:是非また、新サービスのインタビューをさせてください(ง •̀_•́)ง 本日はお時間いただきありがとうございました。

詳細・お申込みはこちら