この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?

「諸事情で出来ない」と言われるんですよね。

まあただ、蓋を開けてみると諸事情の中身は割と単純なものが多いですね。「アップデートしたらアプリが動かなくなる」とか「改修にかけるお金や時間がない」とか。

こういう根本的な改修が出来ない場合とかに、暫定対策やリスク軽減策などをどれだけ提示できるかってこともすごく大切だと思います。それには当然、経験や知識が必要だと思うので、やはり自分で手を動かして調べたり、色々検証などをしてみることが重要ですね。後はやはり、ある程度の言い切りも必要じゃないでしょうか。

本当にヤバいものについては「しょうがないけど、やらないとダメです」と言い切って、そのままにした場合のリスクを淡々と伝えます。本当に対処しなければならないヤバいものと、まあちょっと時間が経ってから対処しても大丈夫なものを区別して、提示してあげる"さじ加減"っていうのも重要ですね。辻氏

「放置はダメだけど、これだけは」というところを伝えることですね。ものには優先度がありますし。技術や知見だけじゃなく、診断は、その優先度を適切に伝えるところにポイントがあると思っています。

相手がいる話なわけだし、知識量があり、技術力を持っていたとしても、訴求力がないとこの仕事は成立しないですよね。