全1761文字
PR

 システムが持つ脆弱性を突かれて、個人情報や機密情報が流出したり、Webサイトを改ざんされてクレジットカード情報を窃取されたり被害が相次いでいる。特に、新型コロナウイルス感染拡大によるテレワークの採用で導入したRDPやVPNの脆弱性を突いて、不正侵入されたケースも少なくない。攻撃者は組織の大小に関わらず、攻撃を仕掛けてくる。

 このため、システムの脆弱性を積極的に見つけようとする企業が増えている。フィンテック事業を手掛けるベンチャー企業のカンムは2020年7月、数百万円をかけて脆弱性を探すセキュリティー診断を受けた。同社はこれまでも定期的にセキュリティー診断を受けてきたが、今回の診断によって新しい脆弱性を見つけられたという。

 同社はどうして大枚をはたいて診断を受けたのか。今回の診断はこれまでの診断とどう違うのか。その答えを見ていこう。

お金を払って攻撃を受ける

 カンムはスマホアプリを使ってVisaプリペイドカードを発行するサービス「バンドルカード」を提供する。金融サービスなので攻撃者の標的になりやすく、被害に遭えば大きな損失になる。このため、プロダクト(アプリなどのソフトウエア)周りのセキュリティー対策には力を入れてきた。定期的に受けてきたセキュリティー診断もアプリが対象だ。

 だが同社の伊藤友気CTO(最高技術責任者)によれば、社内システムのセキュリティー対策が手薄だったという。そこで同社が新たに受けたセキュリティー診断はペネトレーションテスト(ペンテスト)だ。

カンムの伊藤友気CTO
カンムの伊藤友気CTO
(出所:カンム)
[画像のクリックで拡大表示]

 ペンテストは実際のサイバー攻撃を想定したシナリオに基づき、専門知識を持つテスターが企業を疑似的に攻撃して侵入や情報摂取の可否を確認する。伊藤CTOは「実際に攻撃を受けることでどのような脆弱性があるのか明確にし、対策にあたっての優先順位付けをしたかった」とペンテストを受けた理由を話す。