shikata ga nai

Private? There is no such things.

最短で効率よく脆弱性診断スキルを身につける体験談についてかいてみた③

Hello there, ('ω')ノ

 

前回の参考書で勉強していると、どこまでのスキルをもてば脆弱性診断士と呼べるのだろうかと疑問に思えてきます。

たとえば、参考書に書いてあるレベルのでいいのだろうか?

近くに相談する相手もいなければ、一人で不安になることかと思われます。

そこでガイドラインというものを探そうとしたりするのですが、初めにビンゴと思ったものは、WSTGでした。

 

https://owasp.org/www-project-web-security-testing-guide/

 

f:id:ThisIsOne:20210822093853p:plain

 

まずは、PDFをダウンロードして手っ取り早く翻訳して読んでみたものの理解できませんでした。

まだまだ、薄っぺらい参考書で勉強している程度なので理解できるわけがありません。

それでもコツコツと翻訳の作業を続けていましたが、いつのまにか内容の理解ではなく翻訳することが目的となっていることに気づき中断することに。

今思うと技術資料というものは、たとえ英語が得意でもセットで技術的な理解もないと正しくは翻訳できないものだと。

なので、はじめからWSTGは取り組まないほうがいいと思います。

 

その後、下記のようなものを見つけました。

こちらは日本語でボリュームもWSTGと比較すると圧倒的に少なく無理のない範囲で理解できそうで、さらには参考書にも載っていたの目先の目標としてガイドラインに基づいて脆弱性診断ができるようにスキルをつけていく計画を立てました。

はじめは、目先の目標としてこのガイドラインに沿って診断できるスキルを身につけていったほうがよろしいかと思います。

 

https://wiki.owasp.org/index.php/Pentester_Skillmap_Project_JP

 

f:id:ThisIsOne:20210822093216p:plain

 

エクセル版をダウンロードして自分の理解しやすいようにメモを追加したり、診断する手順を追加したりして、今でも定期的に見直しています。

自分さえスキルを身につければよければガンガンと突っ走っていくのもよいのかもしれませんが、これから先、人を育てることまで視野に入れるとやはり記録はしっかりと残しておいたほうがよいと思います。

そのような点では、当ブログにはやってことすべてを記録しているつもりです。

 

f:id:ThisIsOne:20210822095238p:plain

 

ここで整理をしておくと、まずは言葉に慣れる程度でもいいので参考書を読んで、なんとなく理解したつもりにでもなって、ガイドラインをみて診断のやり方をなんとなく把握する程度で進めていかれたらよいかと思います。

勉強時間にもよりますが、今の時点で完璧な理解は求めていませんのでだいたい1~2週間ほどで終了できるのではないでしょうか。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain