プロに聞く「ペネトレーションテストはいつすべき？」　“わざと自社にサイバー攻撃”訓練に求められる覚悟

ペンテストはですね
ISMSなりNISTなり、どっかのコンサルが作ったオリジナルフレームワークなりを導入してから、そのフレームワークなりなんなりがいかほどの強度を出してくれてるかを見極めるために極めて実践的な手段で見極めるためにやるといいと思うんですよね
これ自体でr取れるかってさ
そりゃ無理な話なんでね。。。
今までのセキュリティ投資が正しかったかを確かめる方法として使えば良いのでは
だからこちらからちゃんとメニュー出せなきゃダメですよ
「このフレームワークの有効性を確かめたい」という明確な意思を持って、「そのためには最低限こんなメニューを試して欲しい」と言えないとぼったくられて終わり
メニュー作りにもちょっとでいいから費用上乗せしてちゃんと作ってもらうのが良きですよ
とにかく安く済ませたいとかなんの意味もないからそんかペンテスト
頑張って車作って、試験走行をその辺のおっちゃんに48時間乗ってもらうだけとかなんの意味もない
オフロードも走るのかとか最高速度は何キロ設計なのかとか、それによってメニュー変わるのは普通だよねという話

年度末にあまった予算を使ってペネトレを・・・というような組織も多いかと思いますが、自分たちの守るべき資産の棚卸、全体システムを俯瞰して把握しておくことが、ペネトレを受ける前に前提条件として必要になります。
セキュリティを見直すにもとてもよいことなので、ぜひペネトレを受けていただくことをおすすめします。

セキュリティに完璧はありません。
　攻撃テストを受けたとしても全ての攻撃を防げるわけもなく、さらには見つかった弱点をどこまで対応するか。の判断も必要になります。
　システムには完全は無いため、どこまでやるのか。工数的にも予算的にも覚悟が必要になります。