Follow Us
X
facebook
instagram
youtube

診断テスター

診断テスターは、Webサイトやアプリに存在する脆弱性を診断する役割を担っています。脆弱性とは情報セキュリティ上の欠陥(バグ)であり、公開予定のWebサイトやアプリにそうした欠陥が存在していると攻撃の対象となってしまいます。

仕事内容

脆弱性診断ではお客様から依頼を受けたWebサイトやアプリを操作したり、ヒアリングした内容を基準に照らし合わせたりして、攻撃者が悪用可能な仕様の欠陥がないかを確認しています。また、もし脆弱性が存在した場合に特定の反応を返すコードをツールで送信することによって、脆弱性を探したりもしています。診断結果はWebサイトやアプリの「評点」として可視化され、脅威や対策、外部の参考サイトといった内容を含んだ詳細な診断レポートを作成しお客様へお伝えしています。

実際の業務では、脆弱性に対する攻撃シナリオを想定し、脆弱性を検知するための手順書(テストケース)が用意されています。具体的には以下のような手順があります。

  1. 画像アップロード機能に対しては大きいサイズの画像ファイルをアップロードする
  2. 管理者専用の機能を有するサイトでは、一般権限でログインしたユーザで管理者専用の機能を使用する

診断業務はいずれも標準化されマニュアルが用意されており、未経験からでも業務に取り組めます。サイトやアプリの規模にもよりますが、1つの案件で平均40~50程度のリクエストを対象に、脆弱性診断を行っています。

大切にしていること 責任感をもって仕事にあたる

診断テスターに求められるのは、情報セキュリティを絶対に守るという強い責任感です。

診断を依頼されたお客様だけでなく、Webサイトやアプリの先には多くのユーザーがいます。そうしたユーザーの安全を守るためにも、診断テスターには強い責任感が求められます。情報セキュリティを守る門番として診断テスターは診断業務にあたっています。

使用しているツール

診断業務ではソフトウェアテスト管理ツールの「CAT」、Webアプリケーションの脆弱性を検出するための機能を備えたローカルプロキシツール「Burp Suite」、Androidアプリの開発環境を提供する「Android Studio」といったツールを使用します。

Burp Suiteを使用するとWebサイトやアプリとサーバーの間で送受信されるリクエスト・レスポンスをのぞき見ることが可能。ブラックボックステストである脆弱性診断ではBurp Suiteは不可欠です。またスマホ向けアプリを対象に診断を行う場合は「Android Studio」をエミュレータとして活用、スマホの実機を操作することなくスムーズに診断を進行することができます。

得られるキャリア

私を含め、入社される方の大半は未経験者ですが、社会的なニーズや市場の成長が見込まれる情報セキュリティ分野でのスキルを身に付けることができます。セキュリティは日進月歩ですが、最新のセキュリティ情報、インシデントのトレンドなどが社内で共有され、セキュリティエンジニアとしての自覚が形成されていきます。

IT経験者であっても国内でもトップクラスの企業が扱う案件やプロジェクトに携わる機会は他社では得難く、刺激を受けることは多いと聞いています。

一日(仕事)の流れ

9:00~9:15
チームの朝礼に参加。上長と全体の進捗状況を確認した後、当日のタスクの指示を受ける。
注意事項やインシデントの共有があった。気を引き締める。
9:15~12:00
案件開始日なので「キックオフ」に参加した。診断対象のWebサイトについての説明、注意事項や禁止操作の共有、今回の案件の進め方など、30分程度のミーティング。その後は自分のタスクを中心に取り組んだが、悩んだり手が止まる場合はエスカレをして5分以内に解決した。
12:00~13:00
技術本部が定期開催しているランチ勉強会をスクリーンで見ながら、持参した弁当を社内のカフェスペースで食べる。今日は弁当だが、同僚と一緒に飲食店に行くことも。
13:00~17:00
午前に続き、当日のタスクに取り組む。相談が必要なものがでてきたので、相談先のタスクが詰まっている状況も考えて、後回しにならないよう注意しながら進めた。
17:00~
チームの終礼に参加。当日のタスクの進捗状況を報告する。以前ご依頼をいただいたお客様からのCSアンケートが共有された。項目はいくつもあったが満足いただけたようでとても嬉しく思った。終礼後は、1日の振り返りをし、日報を提出した。
18:00

We are hopeful クラフは
あなたとの出会いを待っています

サイバーセキュリティNo.1企業を宮崎から目指す私たちだからこそ、社会に向けて挑める仕事があります。
成長と挑戦、そして可能性に満ちたあなたのエントリーをお待ちしています。