セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

ペネトレーション・テスト

再考:米国の標的型攻撃訓練サービス

先日、標的型メール訓練サービスについて少し米国事情を調べたり、講演で聞いた内容をまとめる機会があり、その内容を共有します。 日本では、標的型攻撃診断では「標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービ…

ペネトレーション・テスト関連ツール 2016

先日つたない記事を書いたところ、(このブログとしては)すごい反響をいただきました(かなりこっそりやっていて誰も見ているとは思わなかったので)。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。 www.sc…

米国のペネトレーションテスト事情

2016/08/13 書き忘れた項目があったため、追記しました。 今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。 日本におけるペネトレーション・テストとは? ざっくりとまとめると、日本におけるペネトレーション・テス…

良いペネトレーション・テスターはどう見極めるべきか?

日本企業がセキュリティ診断をする場合、ベンダーに依頼することが一般的だと思います。 ベンダー選定時には、コスト・品質・評判など色々な判断基準はあるかと思いますが、特に品質は難しい問題です。「高品質なのか?」、「値段に見合う品質なのか?」とい…

ペネトレーション・テスターの米国資格事情

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。(評価には個人の意見がかなり含まれてい…