この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?
分かり易く説明するのは非常に難しくて今でも苦労しています。クライアントへの診断結果の報告会とかでは、個人的には"場の空気を読む"ことが重要かなと思っています。
もちろん、発見した問題の事象とリスクを正確に伝えることはやらなければなりませんが、いくらこっちが一生懸命説明しても全く聞いてくれなかったら意味がないので、伝え方を色々工夫しています。
辻氏
確かに、寝てしまわれる方もいらっしゃいますよね。
洲崎氏
報告する相手によってはあまり技術的なことは聞きたくないって人もいらっしゃるので、そういう時はホントに必要最低限の大枠だけ報告して、あまり細かい技術的な内容には触れないように気を配っています。
辻氏
結局、(クライアントが求めていることは)細かいところじゃないんですよね。
洲崎氏
最初は馬鹿正直に、タウンページみたいな分厚い報告書を真面目に最初からそのまま読んでいました。そうすると案の上、全然聞いてもらえなかったりするわけで(笑)
その時、結果を聞いてもらえないとやっぱり凹みますし、自分のやった仕事に意味がないんじゃないかと思いました。
人によって、求めてることは違うので、それに合わせて報告をすることが重要だと思います。