脆弱性診断スターターキット概説

👉 脆弱性スターターキットはこちら (Google Driveに移ります)
👉 脆弱性スターターキットにまつわる記事を集めたマガジンはこちら

なぜ作ったのか？

なぜスターターキットを作ることになったのか？
ツイートがバズったからです。

脆弱性診断士という仕事に興味があるエンジニアの人いないですかね？
すごく教えたいです😂❤️

— Misaki Makino (つくし) | 脆弱性診断スターターキットをnoteで公開中 (@T5uku5hi) April 19, 2022

このとき、わたしは新メンバーに対して、脆弱性診断オンボーディング業務をしていました。提出されたハンズオンの診断レポートのレビュー作成をしていたときに、楽しすぎて思わずツイート。いいねが付くなんて夢にも思っていなかったので、いいね、RT、リプライをたくさん頂いて本当にびっくりしました。ツイートが伸びたので、プライベートの方でも、脆弱性診断を教える活動をしていくことを決意しました。

どのような人が対象者なのか？

• 脆弱性診断をやってみたいけれど、一歩を踏み出せない方（セキュリティ業務に関わっている人を想定）

• 脆弱性診断の報告書をもらうけど、どう優先順位をつけて修正していけばいいかわからない方（エンジニア、デザイナー、プロダクトマネージャー、プロジェクトマネージャーを想定）

実はこのスターターキットでは「脆弱性診断を検出する部分」はあまり重要視していません。なぜならば、すでに素晴らしい教本や解説記事が数多く存在しているからです。

しかしながら「検出された脆弱性をどう優先順位をつけて修正していけばいいか」については、私の知る限りではありますが、「これいいなぁ」というものに出会えていません（もしご存知でしたらぜひ教えて下さい！）。
そこでこのスターターキットでは、脆弱性診断レポートを書く・説明する体験をしていただくことで、優先順位付けを考えるきっかけにして頂けたらと思っています。

どのようなことができるようになるのか？

このスターターキットでは、下記の状態目標を掲げています。

1. webアプリの脆弱性診断を始められる状態

   1. Burp Suiteのインストールと設定ができている状態

   2. OWASP Juice Shopを起動できている状態

   3. Burp Suiteの基本的な使い方がわかっている状態

   4. 進捗管理をしながら進められている状態

2. 検出された事象が脆弱性であるかどうかを評価し、説明できる状態

   1. 7個のチャレンジを答えを見ながら検出 & 証跡を残せている状態

   2. 診断レポートに検出内容を記載し、説明できている状態

最も大事な状態目標は「検出された事象が脆弱性であるかどうかを評価し、説明できる状態」です。

わたしは「検出した脆弱性は本当にリスクが高いのか？」を正しく評価することが、最も重要だと思っています。「正しさ」には2つあって、論理的な正しさだけでなく、みんなが納得する正しさ、というものがあります。だから、セキュリティの範疇では正しいことも、エンジニア、デザイナー、PM、営業といった他のプロフェッショナルの範疇では正しくなくなることもあります。みんなの納得がいく落とし所を探し、安全安心を担保しながらも機能面にも優れたプロダクトを作ることが、脆弱性診断だと思っています。

「現実的なリスク評価」を一緒に学んでいきたい

プロダクト開発においてどのように脆弱性修正の優先順位を考えていくべきか、どんなリスク低減策を考えていくべきか？
わたしはそこにとても関心があります。だから、そういうことを教えたいですし、一緒に学んでいきたいです。

このキットは、初心者向けの脆弱性診断スターターキットであると共に、現実的なリスク評価を一緒に学ぶ仲間探しのツールでもあります。
興味を持ってくださった方がいらっしゃいましたら、ぜひ一緒に学んでいきましょう！！
引き続きよろしくお願いいたします。