開発テスト中にいきなり上司は激怒した……そのワケは？

「君さ、ペネトレーションテストと脆弱性診断の違いって分かる？」――。とある取材先で、一見、似たようで違う“安全確認”に関する誤解で上司が激怒する事態になったという。一体、何が起きたのか。

[キーマンズネット]

　新車を購入して早10年、そろそろ自家用車を買い替えようと思案している。この10年で家族構成が変わり、大型のテントを購入したことで家族全員がアウトドアへ傾倒した。そのおかげでもっと多くの荷物が運べる車が必要になりつつある。

　積載量が多そうなミニバンを検討してみたところ、最近は新モデルが各社から投入（予定含む）されているようだ。10年前の車には搭載されていなかった機能も多く、なかなかに楽しい。

大型のワンポールテントを購入。初めての設営のため、大人が群がる

　スマホ操作で駐車できるのはガジェット好きとしてはたまらないが、なんとなく機能過多な気も……。それでも、小さな子供がいる我が家にとって、ドライブアシスト機能など「安全機能」が盛りだくさんなのはありがたい。もちろん、価格ももりもりなのだが――。

ペネトレーションテストと脆弱性診断の違いで上司が激怒した理由

　安全という面では、最近は「ゼロトラスト」というコンセプトを中心に、各ベンダーがセキュリティ製品やサービス群を展開し、取材する機会が増えている。IDaaS（IDentity as a Service）やEDR（Endpoint Detection and Response）、SEG（Secure Email Gateways）、CASB（Cloud Access Security Broker）、ZTNA（Zero Trust Network Access）などなど。そして、それらのコンポーネントを組み合わせたSASE（Secure Access Service Edge）も含め、多くの切り口でいろいろな商材に出会う日々だ。

　そんな折、とある製品を導入した企業に訪問した際、全く違う領域のセキュリティ商材の話題になった。脆弱（ぜいじゃく）性を診断するペネトレーション関連サービスをベンダーに依頼したところ、「テストのやり直しを検討しろ」と上司が激怒したという。

　テストを依頼した理由は、IoT系のハードウェア製品を開発、提供している関係で、製品リリースに向けて脆弱性調査を実施したかったからだ。テストの結果、IoT製品から脆弱性は検出されなかったが、そのテストに関して疑義が生じ、上司がテストをやり直すよう命じる事態になった。

　筆者自身、開発周りのテストツールなどのジャンルには疎いこともあり、「いろいろあるんですね」と聞き流そうとしたところ、「君さ、ペネトレーションテストと脆弱性診断の違いって分かる？」と問われた。

　取材先の企業が提供する製品やIoT関連のソリューションについては事前に調べておいたのに、まさかペネトレーションテストについて聞かれるとは想定外だった。「すんません、あまり詳しくないんですよね。何となく同じものだという認識でした」と素直に白状したところ、「実は私もよく分かってなかったんだよね。ペネトレーションテストも脆弱性を見つけ出すもんだと思っていたからさ」と担当者が振り返った。

　釈迦に説法であれば恐縮だが、担当者からの説明は無知な私にとって大変勉強になった。

　ペネトレーションテストと脆弱性診断は、どちらも脆弱性を発見するためのものではあるが、ホワイトハッカーが手動で攻撃を仕掛け、「未知の脆弱性」を見つけ出すものがペネトレーションテストで、決められた検出パターンに沿ってツールを駆使して「既知の脆弱性」を可能な限り発見するのが脆弱性診断だと教えてくれた。

　決められた手順に沿って脆弱性の可能性を広く洗い出す脆弱性診断に対して、専門性の高いハッカーのスキルや経験を駆使して脆弱性を見つけ出すペネトレーションテストは、網羅性が全く異なる。単一の機器に対して脆弱性を広く洗い出す脆弱性診断とは違い、攻撃者の目線で機器に侵入し、目的が達成できるかどうかを検証するペネトレーションテストでは、結果の見え方も変わるだろう。（そうか、かなり以前にこのネタで記事を書いたことがあったな……）。

　「うちの上司は、『既知の脆弱性にどれだけ対応できているか』の確認が必要だと考えていたが、ペネトレーションテストではアプローチが違う。そりゃ、期待した結果はでてこないよね」と担当者が肩をすくめる。また、テストの内容も仕様書をベースにテスト項目を洗い出し、機器の構造を考慮せずに実行するブラックボックステストのアプローチだったため、上司としては「なぜうちの製品を詳しく理解せずにテストができるんだ」と怒り、担当者に詰め寄る羽目になったという。ブラックボックステストは手法として認知された手法だが、上司の理解も及んでいない部分が多かったらしい。

　話を聞く限り、双方のコミュニケーションが不足していたことで、求めている成果が得られなかったわけだ。そもそもなぜペネトレーションテストを選択したのかは担当者に聞きそびれたものの、改めて双方の違いが認識できたことは私にとって収穫だった。テストに関わった皆さんにとっては、不幸でしかないのだが……。

積載量を増やす目的は同じ、でもアウトプットが違い過ぎる

　さて、前述した車の購入についてだが、タイミング的にはあまりよろしくなく、世界的な半導体不足の影響からか、恐ろしい程に待たされるようだ。ディーラーの営業に聞くと、今発注してもメーカー推奨スペックで2023年5月ごろ、いろいろオプションをつけると2023年10月ごろになるという。

　ならば中古でと考えてみたが、中古市場は価格が高騰しており、型落ちでも新車並みの価格になっているという。妻からは「今乗っている車の上にキャリアをつけて大量の荷物を運べるようにすれば？」と現実的な解決策を提示された。

　多くの荷物を運べるようにするという目的は同じだが、最終的な解決策となるアウトプットが大きく変わってしまう。個人的には新しい車や機能に興味が移りつつあるので、できれば新車が欲しいのだが。うーん、我が家の財布を握る大蔵大臣の意見に従わざるを得ないのか……。

---

読めば会社で話したくなる！　ITこぼれ話

　キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる！」をテーマに記事を掲載。

---