#151. 第三者の重要性
投稿者は侵入テストを外部が行うべきか、内部が行うべきかを問うています。
u/hshshssbwheuwi氏による回答です。
「誰かが言ったように、第三者による評価[third party assessments]が必要です。実際、一部の規制/フレームワーク/コンプライアンスでは、第三者による評価が必要です。
最適には、テストを行う社内チームも必要です。」
JIS Q 27002に基づく情報セキュリティ監査の講習で言われたことは、
「セルフチェックは監査にあらず」
です。セルフとは内部または部内を指します。外部が監査を行ってナンボというわけです。内部の者が監査を行ったところで斟酌や忖度、同町圧力が働くでしょう、だから公平性・中立性を担保できない、という意味です。
ただ、第三者にペンテストや監査等を行ってほしくないと言う人は大勢います。理由は、
・工数が発生する。
・検出事項をほじくり返されるのが辛い。見つかったら何らかの制裁が待っている。
・内部と外部の区別がそもそもついていない。同等だと本気で思っている。
あたりです。
フォロワーのみなさん、会社で外部にさせるべき侵入テストを「部内メンバーにさせたらよいではないか」と言われたら、どうやって翻意させますか?