付録Bペンテスターと良好な関係を築く方法

この本を手にとった皆様の中には、自身は脆弱性診断やペネトレーションテストを行わないが、ペンテスターの部下を持つ方や外部のセキュリティベンダとコミュニケーションを行う方もいらっしゃると思います。ペンテスターがどんな成果を上げるのかは、報告書†1を見ると分かりますが、「何がストレスになるのか？」「何があれば業務をやりやすくなるのか？」は知らない方も多いでしょう。そんな謎に包まれたペンテスターと良好な関係を築く方法をここでは紹介したいと思います。

B.1　なぜ良好な関係を築くべきなのか

脆弱性診断やペネトレーションテストは、開発業務と違い、成果物が依頼者に渡される報告書しかなく、本当に検査しているのか、依頼者側からは分かりにくいです。アクセスログを依頼者側で精査すれば、どのような検査を行っているか理論上は明らかにできます。しかし、ログの量が莫大である点、セキュリティの知識がなければどのログがどのような攻撃を試行しているのか判別がつかない点から、想定される脆弱性をすべて確認しているのか判別するのは困難です。依頼者側で再度検査を実施しない限り、手を抜かれていたとしても気づけないでしょう。

ペンテスターは攻撃者と同等の能力を持つエンジニアなので、悪く捉えるとテロリスト予備軍といっても過言ではないかもしれません。発見した脆弱性を報告書に記載せずに隠し持ち、後日公開された本番環境に対して使い、運営企業にダメージを与えるかもしれません。自身で用いずに、インターネット上でゼロデイとしてGitHubやPastebinで無償公開したり、ダークウェブで販売したりすることも想定されます。ペンテスターは高い倫理観を持つエシカルハッカーなので、そのような行為を行わないはずですが、追い詰められると道を踏み外す人も中にはいるかもしれません。決して、常にご機嫌を伺わなければいけないほど気難しいわけではないです。しかし、業務内容を理解し、働きやすい環境を作った方が、業務効率が向上し、勤続年数も上がるでしょう。 ...