当社の新しいペネトレーションテストサービスを最近発表しましたが、PTWのテクノロジー担当VPであるHarlan Beverlyが、ITセキュリティのベストプラクティスについて話してくれました。「PTWのような第三者によるペネトレーションテストは、顧客、従業員、株主の安心安全を保てるよう、あらゆる合理的な対策が講じられていることを確認できます」と答えています。このことは、SolarWinds社とそのCISOであるTim Brownが直面した問題から見ても明らかです。

SolarWindsはITシステム観測プラットフォームです。同社が故意にその業務の安全性を偽っていたとして、米国証券取引委員会（SEC）によって詐欺と内部統制の不備を指摘され、起訴されています。2018年10月頃から2020年12月頃にかけて、SolarWindsは「SUNBURST」と呼ばれる大規模なサイバー攻撃を受けていました。この攻撃により、世界中の顧客のみならず米国連邦政府も使用するSolarWindsのインフラストラクチャーへ、攻撃者がアクセス可能になっていたのです。

（出典：DarkReading.com）

SolarWinds社がアプリケーションを安全に保てなかったことの影響は、今も同社そのものや、株主、顧客、従業員にも波及しています。「データの損失、復旧、評判の失墜がもたらす影響は、決して軽んじることはできません」とHarlanはコメントします。「自社のシステムにハッカーが侵入できないようにしたいと思わない企業はありません。ペネトレーションテストとは、まさにその考えを体現するものです。ペネトレーションテストでは、ホワイトハッカーであるITの専門スタッフが、実際にハッカーがシステムに侵入するのと同じ手段で侵入を試みます。これにより、脆弱性を発見してパッチを当て、ハッカーに利用されてしまう前に穴をふさぐことができるのです」

関連のニュースとして、特に人工知能（AI）を使用・活用するアプリケーションのサイバーセキュリティとゲームやアプリケーションの侵入テスト の重要性も高まっています（出典：CNBC）。「米国政府は最近、AIシステムの安全を保つ新しいガイドラインの作成を義務づけました」とHarlanは言います。「このプログラムでは特に、企業が安全性テストの結果を共有し、プライバシー技術を評価することを求めている。このような新しいガイドラインは、これらのプライバシーと安全技術が機能することを保証するステップとしてペネトレーションテストが必須となり、今後さらにその重要性が増すことを意味しています」

「PTWが新たに展開するNinjaScanサービスを用いれば、ペネトレーションテストをより速く、より手頃な価格でご利用いただけるようになります」とHarlanは続けます。「これを可能にしているのは、24時間の作業サイクルを活用です。作業をグローバルに分散し、プロセスを効率化できるよう開発された特別なツールやスクリプトを使って侵入テストを実施することで、貴重な日数を節約しています」

米国証券取引委員会（SEC）や新たな米国政府部門が安全性テストの重要性に言及する中、OSCP認定パートナーによる侵入テストの必要性はこれまで以上に高まっているのです。