この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?

洲崎氏

駆け出しの時は報告会とかでお客様から色々厳しいツッコミをいただくことが多かったですね。

セキュリティ診断に利用するツールなどでは、脆弱性を誤検出(脆弱性がないにも関わらず、あるとツールが報告してくること)する場合があります。もちろん、きちんと確認をして、あらかた潰したりするわけですが、中には、報告する結果の中にそのまま残っていたりするものもあります。

ある時、顧客に診断結果を説明した際に、「こんなのうちのシステムで使ってないよー。一体何で検出しているの?」って言われてその時は、ただツールの結果から報告書を作成していただけだったので、理由がわからなくて思わず固まってしまいましたね。

ほかにも「この脆弱性を実際に悪用して攻撃してみたら具体的にどうなるの?」とか質問された時に、自分ではやったことが無かったので質問に対して上手く答えられなかったこととかもありました。

まあ、そういうことを繰り返していくうちに、それらに対応するには「自分で手を動かして、検証しなければならない」ってことを強く感じて、色々検証をするようになりました。

脆弱性の検証ももちろん大切なのですが、それ以外にも、診断対象となるようなシステムを自分の手で構築してみるってこともすごく重要だと思います。