脆弱性診断士の業務内容

おはようございます。つくしです。
今日は脆弱性診断士の業務内容について書いていきたいと思います。

「脆弱性を診断する」ってどういうこと？

そもそも脆弱性（ゼイジャクセイ）という言葉が見慣れないですよね。白状しますと、わたしは最初この言葉に出会ったときに読めなかったです(笑)

脆弱性とは「悪用される可能性がある欠陥や不適切な設定」のこと、診断とは「悪用される可能性があるかどうかを評価する」ことを指します。「悪用される可能性がある」というのが非常に重要なポイントで、優秀な脆弱性診断士かどうかは、どれだけ現実的で正確な悪用の可能性を提示できるかどうかで推し量れるとわたしは思っています。

脆弱性診断士はベンダーと内製に大別される

業務内容の話題に入る前に、脆弱性診断士はベンダーと内製に大別されることをご説明させていただきます。ベンダーの脆弱性診断士は、顧客から依頼された対象について脆弱性診断を行っていきます。それに対し、内製の脆弱性診断士は、自社の情報システムやお客様に提供しているプロダクトについて脆弱性診断を行っていきます。わたしは内製の脆弱性診断士としての経験しかありませんので、以降は内製における業務内容についてお話させていただきます。

内製脆弱性診断士の業務内容

業務内容を時系列に列挙すると、下記のようになります。

1. 脆弱性診断実施に向けた予定調整

2. 脆弱性診断の実施

3. 診断結果レポートの作成

4. 診断結果についての解説と修正方針の策定

5. 修正された対象の再診断

わたしが知る限りではありますが、4と5はベンダーでは行わない内容だと思います。内製ですと「脆弱性を検出する」ではなく「脆弱性を修正する」ところまでが業務です。そのため、脆弱性を検出する能力以外にも、下記の能力も求められます。

• 「脆弱性を修正する意味」を伝える能力

• 「現実的な修正案」を提案する能力

webアプリケーションにおける脆弱性診断の詳細については、以前社内勉強会でエンジニアを対象に発表した資料がありますので、それを参考にしていただければ幸いです。

本日は脆弱性診断士の業務内容についてご紹介させていただきました。
最後までお読みいただきありがとうございました！