　例えば、ドメイン管理者の権限を一時的に払い出してもらった上で設定を監査的にチェックしていくものもあれば、顧客の環境に実際に足を運んで診断する方法、さらには本物の攻撃さながらにリンク付きのメールを送り込むところから始める方法に至るまで、攻撃の始点や攻撃者のモデル、シナリオは色々と考えられる。また、EDRなどのセキュリティソリューションが導入されていることを前提にするのかどうかによってもテスト内容は変わってくる。どのステージでどこまでの診断ができるのかが、ベンダーを見極める一つのポイントになる。

　診断の回数を重ねていけば徐々に指摘事項も減っていくが、「毎回何も出ない」となることはあり得ない。そうした場合には、異なるベンダーに依頼し、それまでとは異なる目線や考え方に基づいて診断をしてもらうのも一つの手だとした。

　物理侵入まで何でもありのテストを実施したSansanなど、アグレッシブに演習を行うケースを耳にして、「自分たちも何か診断をやってみよう」と考えるのはいい考えだ。だが、物理的な侵入経路以外のところがボロボロのまま、同じシナリオを試してみても「やられましたね、ダメですね」だけで終わってしまう。それではもったいない。

　「どれくらい新しい攻撃・侵入手法を考えるか、法律を守りながらどこまでバランスをとりつつ演習するかは、診断会社によって異なります。どのような診断をやりたいか、我々はどこまで覚悟ができているかを踏まえつつ、その診断会社はどこまで何ができるかを把握し、選ぶべきでしょう」

　いずれにせよ、自社内がどうなっているを整理した上で診断を受け、現状を把握したらそれに基づいて設計を改善したり、ソリューションを導入したりして、「これである程度大丈夫だろう」と思えるようになったら、改めて計画通りに検知や対応ができるかをレッドチーム診断で試してみるといった具合に、段階的に進めていくことが望ましいだろう。その後も、変化する脅威や環境に合わせて、ゴール、あるいは手段を変えながら、常に自社を適切に疑いながら試し続ける視線が必要になるはずだ。

ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。
クラウドの設定ミス、気を付けても見落としがちな“あるポイント”　セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。
「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表　あなたの組織は大丈夫？
米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。
IPA、専門家による脆弱性診断を無料提供　中小運営のECサイト向け
IPAが、ECサイトを運営する中小企業向けに、専門家による脆弱性診断を無料で提供する。通常は100万円程度の費用が掛かるサービスだが、脆弱性を巡る現状把握に向け、経済産業省の補助を受け無料で実施するという。