この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?

「こういう脆弱性があるから、直してほしいのでアップデートして」と言っても、そのパッチでシステムが動かなくなることもある。適用する修正プログラムだけで見れば個数は1つでも、当てるべきサーバーが100台あるなら、すぐに当てることはできない。修正プログラムを適用すると一言で言ってもその後にはシステムを再起動して、正常に稼働しているかというチェックもあるわけです。

だから、「やられたらダメだからとにかくやれよ」という態度ではいけないですよね。敵は外にいるわけで、仲間同士で理解し合わず、揉めてしまうような形はダメですよね。

洲崎氏

そうですね。伝える相手の気持ちを理解したいっていうのがあるので、気軽に質問できたり、色々ご意見いただけるような他業種の知り合いの方の存在とかは非常にありがたいです。

例えば、脆弱性が発見された時に「このソフトウェアとかモジュールとかって、実際に現場とかで広く使われているんだろうか?」って疑問に思うことがたまにあります。そんな時に、「これって運用・開発の現場でよく使われてたりするの?」と気軽に聞けたりするのは大きいですね。

(改めて次の人材へのアドバイスとして)