Hello there,

 

脆弱性診断には、大きく分けると自動(ツール)診断と手動診断とあって。

自動診断は誤検知もありますので、手動での検証が必要で。

手動診断においては、実施しながら検証も行うといった感じで。

 

自動診断ではレポートを出力する機能があるはずなので。

出力されたレポートを活用して。

検証された診断結果をもとにリスク評価し。

最終的に報告書を作るといった流れではないかと。

 

企業としては、個人に任せるのではなく。

以下のような標準化マニュアルを整備しておくと品質が担保できそうで。

　・自動診断マニュアル

　・手動診断マニュアル

　・リスク評価マニュアル

　・報告書作成マニュアル

 

これらはとても地味な作業となりますが。

これをやらない企業は、個人依存度が高く。

エンジニアによって作業内容やレベルがまちまちとなって。

世間から信用されない企業とならざるを得ないのではないかと。

 

 

Best regards,