この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?
あと、よくあるケースだと、「開発ベンダーを連れてくるから説明してほしい」って展開ですね。
これは問題点や修正内容が開発に伝わり易かったりするので、良いことでもあるのですが、脆弱性を報告する側としては、正直色々と大変なんですよね。
辻さんももちろんご存知だと思いますが、状況によっては修羅場になったりしますよね(笑)。
辻氏
もちろん、何度も経験しています(笑)。開発ベンダーからすれば、あら探しや、お客さんの前で恥をかかされているというように考える方も以前は多かったように思います。
○"診断"という仕事の大変さ
辻氏
やはり日々忙しいですか?
洲崎氏
今の仕事は、社内及びグループ会社で開発・構築したアプリやシステムに対するセキュリティ診断を実施しています。実業務としては、グループ会社に対して提供するセキュリティ診断の取りまとめを担当しています。社数が多く、診断案件の引き合いも多いので、そこそこ忙しいですね。
辻氏
普段は何時頃帰ってるんですか?
洲崎氏
過度な残業はしてません。実作業については、基本的に他のセキュリティエンジニアの方々が担当していて、厄介なケースや判断が難しいものとかが、自分の所に回ってくる感じですかね。