［データセンターを疑似攻撃］1万項目の約1％に問題見つかる | 日経 xTECH（クロステック）

外部からのセキュリティ攻撃に対する防御レベルを調べるため，ライブドアなどデータセンター事業者3社が合同で，検証実験を行った。4日間にわたる疑似攻撃によって見つかったセキュリティ脆弱性はわずかだった。しかし，現場の運用スタッフは異変に何も気付かなかった。検証を担当したライブドアの伊勢さんに，その経緯と結果を報告してもらう。

ITproの連載記事。高木さんのはてブコメントにもあるが、たしかに突っ込みどころがたくさんありそう。続編にも期待。

筆者がデータセンター事業の責任者を務めるライブドアは，自社で運用するサーバーのそうした防御レベルを調べるため，同業のソフィア総合研究所，さくらインターネットと合同で，2007年6月に疑似的なセキュリティ攻撃を受ける検証実験を行った（図1）。攻撃は，セキュリティ診断サービスを提供する eCUREとSBTコンサルティングに依頼。現場の運用スタッフには何も知らせず，実害が出ないレベルで攻撃を仕掛けてもらった。そのうえで，現場スタッフが攻撃に気付けるかどうかを観察しつつ，最大で1万項目に上るセキュリティ脆弱性を検証した。

えっと「eCURE」と「SBTコンサルティング」ですか。この手の診断サービスには詳しいほうだと思うけど、全然聞いたことない。SBTコンサルティングはソフトバンク・テクノロジーの子会社らしいのだが、ググッても検索結果にでてこない。これか。うーむ、謎な会社だ。

「最大で1万項目に上るセキュリティ脆弱性」ですか。これ読んでピンときたけど、たぶん Nessusのプラグインの数じゃないかな？ 少し前から1万越えてるし。

この図の脆弱性項目の分類もたしかにおかしい。ベンダーの資料がこうなっているのかな？ もうちょっとちゃんとしたところに頼めばいいのに。余計なお世話か。