Hello there,
実際に中小企業が、自社で脆弱性診断をしようとすると。
まっさきに思いつくのは、参考書だったり、セミナーだったり。
中小企業からするとセミナー料金は高額の領域だったりと。
仮にセミナーを受講させたところで。
セミナーで能力を身につけた社員は、給与の高い会社へ転職したりして。
勉強熱心な経営者や管理職であれば無料セミナー等でIPAにたどり着くのかと。
入門編としては、『ウェブ健康診断仕様』からがお勧めで。
ただし、下記に書いてあるようにこれだけでは安心とは言えず。
https://www.ipa.go.jp/security/vuln/websecurity.html
次のステップとしては、『Webアプリケーション脆弱性診断ガイドライン』。
下記に書いてあるとおり、一定レベルは満たすことができそうで。
https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP
『情報セキュリティサービス基準審査登録制度』にも。
例示であってもたいていの企業が、これらを基準としているわけで。
でも、とりかかろうとしても読んだだけでも理解できず。
ツールの使い方もわからずで。
なにからやっていけばよいのか、下記のサイトの資料を読んでいけばよいのかと。
参考となる参考書もかかれているようですし。
https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP
これまで、上記のドキュメント類はじっくりと見たことなかったのですが。
けっこう綺麗にまとまっているのではないでしょうか。
Best regards,