Hello there, ('ω')ノ

 

無事に経済産業省の「情報セキュリティサービス基準」の認可申請も終わり

これまでを振り返ると

　８，９月は、セキュリティスキル習得方法の模索

　１０～１２月は、脆弱性別にテスティングサイトでトレーニング

　１～３月は、トレーニングのプライオリティを下げて認可申請の資料作成

といった感じです。

 

一応、事業を行うためのプロセス管理や品質管理といったものや

脆弱性診断を行うための作業手順など標準化を目的とした資料はできました。

ここで問題が残っています。

脆弱性診断を実施するにあたりスキルが追い付いていないのです。

資料をまとめる際に各種脆弱性は、なんとか説明できる程度の知識は得たものの

キモとなる脆弱性診断を行うにあたり全くの自信がない状態です。

脆弱性別のトレーニングしか行ってないので当たり前なのですが。

 

一応、診断手順書といったマニュアルは作成しました。

作成においては、IPAのウェブ健康診断や脆弱性ガイドラインを参考にしました。

本音は、OWASP TESTING GUIDEを参考にしたかったのですが

ボリュームと読んでもまだ理解できないスキルだったので諦めました。

ちなみに脆弱性診断を行うにあたってシラバスもありましたが

この内容を鵜呑みにするといつまでたっても診断はできないので要注意です。

 

作成した診断手順に沿って実施すると１ページあたりにかける人件費が高くなり

事業として成り立ちません。

そこで、思いついたのがいくつかのツールを使用しての自動スキャンです。

これは楽ちんです。

一瞬、この手で行こうと頭をよぎりましたが罪悪感が残ります。

つまり、ツールの自動スキャンに頼るというのは

単にツールの使用方法を知っているだけのことでスキルとは言えないからです。

さらに漏れなく診断しているかもツールのログを確認しなければわかりません。

診断結果をみてもよくわからなかったりもします。

やっぱりスキルがないとツールをつかったところで自信をもって

サービスを提供できないといった結論に達しました。

再度、原点にもどってテスティングサイトでのトレーニングに集中です。

 

Best regards, (^^ゞ