この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?

洲崎氏

NW診断を3年ほど経験した後は、6年くらい主にWebアプリの診断をやっていたりします。

辻氏

僕はずっとネットワーク診断に関わってきました。僕たちは診断をする側ですから、ネットワーク、Web診断の違いが分かりますよね。診断の範疇とか。

ただ、色んな経験をしてきて、そういうマネジメントの立場になると、「Web診断って何?」と言われることもあると思うのですが、どのように答えていますか?

洲崎氏

僕が説明するとすれば「セキュリティ的に、よろしくない造りをしているWebアプリかどうかを調査すること」ですかね。一般的な「Web診断」の診断対象となるものは、OSやサーバーソフト上で動作する、お客さま独自で作成しているWebアプリケーションだと思います。

脆弱性は簡単に言ってしまえばバグの一種ですね。プログラムの組み方など、アプリケーションの作り方が悪いとそういうバグが存在し、攻撃をされてしまう余地があります。

Web診断自体でやっていることは、いわゆる"異常系テスト"に近いものかなと思います。

色々なパターンのパラメータ値をアプリに受け渡してみたり、本来開発側が意図しているであろう操作と違うことを色々やってみたりします。