Hello there, ('ω')ノ
テスティングサイトのトレーニングを始めてから3か月が経過して
VirtualBoxや仮想環境といったものに対して抵抗はなくなっていました。
Burp Suiteも主要な機能についての操作はわかったつもりです。
脆弱性別の診断方法は、数多くこなしてきたもののやった感だけで
自信をもってスキルがついたとは言いきれない状況です。
脆弱性といったものもぼんやりとは説明できますが、自信をもって説明できません。
そのような中で、3月半ばには「情報セキュリティサービス基準」の認可を
取得するといった目標を立てました。
事業化するうえでプロセスや管理は重要です。
契約書のやりとりや価格設定、アフターフォローもあります。
診断書の提出や報告なども含まれます。
テスティングサイトでのトレーニングは継続しつつも並行して進めました。
すべて一人なので非常にタイトなスケジュールとなります。
申し込み締め切りまで2か月で資料を仕上げる必要があります。
当然ながら事業化にあたり品質の統一は必要です。
これを機に脆弱性別に説明や対策、診断手順をマニュアル化することにしました。
事業化にあたっての文書やマニュアルは、約2,000ページ。
2か月で作り上げました。
また、第三者へ伝えることを想定して資料を作り上げましたので
理解できていなかった個所の復習にもなりました。
テスティングサイトでのトレーニングのプライオリティを下げたことで
年明けからはほとんど新しいスキルはついていませんでした。
ただ、やった感の積み上げよりは一度立ち止まって復習するといった作業は
今後のスキル習得に非常に役に立ち、効率よく習得できることになったのは
間違いありません。
テスティングサイトでトレーニングを始めてから有効だったと思えるのは
はじめから何でも完璧に覚えようとしないことかと思います。
先に学ぶべきボリュームを把握して、前進することです。
たとえば、学ぶべき脆弱性を列挙してボリュームを把握します。
列挙するにしても近年重大リスクとされているものから優先度をつけて列挙し
学ばれたほうが良いと思います。
それから、テスティングサイトを構築してトレーニングをします。
脆弱性別にメニューが用意されたサイトがおススメです。
数学にしても初めから応用問題は解けません。
基礎というものを理解してからでないと無理ですし、効率も悪いです。
ある程度、進んだところでこれまでわかなかったところを振り返ると
以前よりも理解が進む箇所もあり自分自身の成長も確認でき
モチベーションも保てます。
学んだことの復習とまとめは大切です。
Best regards, (^^ゞ
