見出し画像

脆弱性診断士という仕事に興味があるエンジニアに教えたいと思った理由

つくし@週一助教 | セキュリティと医療DXをやる人

おはようございます。つくしです。
昨日このようなツイートをしたところ、自分の予想を遥かに超えて反響がありました。

脆弱性診断士の仕事に興味があるエンジニアの方こんなにいらっしゃるの!?どこに隠れてたの!?(違)本当にびっくりしました。さらにうれしいことに「興味があります!」というリプライもたくさんいただきまして…これはさすがに本ツイートの背景や、どんなことを教えたいと考えているのかをちゃんとまとめて発信させていただきたいと思いました。それでは早速、お話させていただきたいと思います。

このツイートの背景

端的に申し上げると「わたしの下に付いて、脆弱性診断士として働いてみませんか?」という意味でした!実はリクルーティングが本音でした(笑)

実は会社で2月からリーダーを拝命しまして、新しく来た方を対象に脆弱性診断のオンボーディングを担当することになりました。現在、記念すべき第一号さんのオンボーディングを進めていて、昨日提出されたハンズオンの診断レポートのレビュー作成をしていたときに、楽しすぎて思わずツイートしました。それがこのツイートの背景です。

エンジニア経験がありセキュリティに興味があって、わたしの下で脆弱性診断士として働いてみたい!という方がいたら、ぜひ、Twitterの方でリプライやDMください。採用担当にお繋ぎします。

とはいえここまでツイートが伸びたので、プライベートの方でも、脆弱性診断を教える活動をしていくことを決意しました。会社内外問わず、日本中のエンジニアの方々が脆弱性診断に関心を持ち、わたしがお教えしたことをプロダクト作りに活用して頂けたら幸いです。

お教えしたいと思った内容

実は、本当にこんな反響をいただくとは夢にも思ってなかったので「どんな風に教えるのがいいんだろう?」と頭を悩ませています。記事をシリーズで公開していくのがいいのか、動画を配信していくのがいいのか、zoomでオンラインの勉強会をしていくのがいいのか…めちゃくちゃ悩んでます(笑)
ただ、今回初のオンボーディング担当業務で作ってみたオンボーディングキットがあるので、その内容を簡単にご紹介します。

オンボーディングキットは、Google Driveで作ったフォルダのことを指しています。

こんな感じです!

中身は、

  • 脆弱性診断業務とは?の説明書

  • 脆弱性診断に必要なツールの準備手順書 

    • Burp Suiteのインストール方法、Firefoxにプロキシを挟むための方法

  • 脆弱性診断ハンズオンの準備手順書

    • OWASP Juice Shopのインストール方法

  • シラバス

    • どんな風に進めていくか、達成状態はなにか などが書かれたタスク管理表

  • 脆弱性診断のプロジェクトフォルダ

    • OWASP Juice SHOPを診断するときに必要な書類がまとめられたもの

    • 脆弱性診断レポートの雛形が入ってたりします

というものです。このオンボーディングキットのシラバスを進めながら、学習を深めていただくということを想定していました!

脆弱性診断レポート作成が最重要

わたしは脆弱性診断業務において、もっとも重要だと思っているのが「脆弱性診断レポート作成」です。なぜかというと「検出した脆弱性は本当にリスクが高いのか?」を正しく評価することが、もっとも重要だと思っているからです。

「正しさ」には2つあって、論理的な正しさだけでなく、みんなが納得する正しさ、というものがあります。わたしは内製の脆弱性診断士として働いていまして、自社の全プロダクトを診断しています。プロダクトの先には、新卒時代からお世話になった先輩や大好きな後輩や同期がいます。ちょっとエモくなって恥ずかしいですが「大切な仲間を困らせたくない」という思いで、脆弱性診断レポートを作ってます。(エモすぎる恥ずかしい!引かないでくださいね。でも本気です。)

だから、セキュリティの範疇では正しいことも、エンジニア、デザイナー、PM、営業といった他のプロフェッショナルの範疇では正しくなくなることもあります。みんなの納得がいく落とし所を探し、安全安心を担保しながらも機能面にも優れたプロダクトを作ることが、脆弱性診断診断士の仕事だと思っています。

もし興味を持った方がいたら、ぜひ一緒に学んでいきましょう!

わたしの興味関心ごとは「リスク評価」の部分なので、高度なテクニックが必要な攻撃手法を教えたり、さまざまな攻撃ツールを教える、ということはしません。
プロダクト開発においてどのように脆弱性是正の優先順位を考えていくべきか、どんなリスク低減策を考えていくべきか。そういうことにむちゃくちゃ関心があります。だから、そういうことを教えたいですし、一緒に学んでいきたいです。

ここまで読んでいただき、興味が出た方は、ぜひ一緒に学んでいきましょう。どうぞよろしくお願いいたします。

この記事が気に入ったらサポートをしてみませんか?