仕事内容
脆弱性診断ではお客様から依頼を受けたWebサイトやアプリを操作したり、ヒアリングした内容を基準に照らし合わせたりして、攻撃者が悪用可能な仕様の欠陥がないかを確認しています。また、もし脆弱性が存在した場合に特定の反応を返すコードをツールで送信することによって、脆弱性を探したりもしています。診断結果はWebサイトやアプリの「評点」として可視化され、脅威や対策、外部の参考サイトといった内容を含んだ詳細な診断レポートを作成しお客様へお伝えしています。
実際の業務では、脆弱性に対する攻撃シナリオを想定し、脆弱性を検知するための手順書(テストケース)が用意されています。具体的には以下のような手順があります。
- 画像アップロード機能に対しては大きいサイズの画像ファイルをアップロードする
- 管理者専用の機能を有するサイトでは、一般権限でログインしたユーザで管理者専用の機能を使用する
診断業務はいずれも標準化されマニュアルが用意されており、未経験からでも業務に取り組めます。サイトやアプリの規模にもよりますが、1つの案件で平均40~50程度のリクエストを対象に、脆弱性診断を行っています。
大切にしていること 責任感をもって仕事にあたる
診断テスターに求められるのは、情報セキュリティを絶対に守るという強い責任感です。
診断を依頼されたお客様だけでなく、Webサイトやアプリの先には多くのユーザーがいます。そうしたユーザーの安全を守るためにも、診断テスターには強い責任感が求められます。情報セキュリティを守る門番として診断テスターは診断業務にあたっています。
使用しているツール
診断業務ではソフトウェアテスト管理ツールの「CAT」、Webアプリケーションの脆弱性を検出するための機能を備えたローカルプロキシツール「Burp Suite」、Androidアプリの開発環境を提供する「Android Studio」といったツールを使用します。
Burp Suiteを使用するとWebサイトやアプリとサーバーの間で送受信されるリクエスト・レスポンスをのぞき見ることが可能。ブラックボックステストである脆弱性診断ではBurp Suiteは不可欠です。またスマホ向けアプリを対象に診断を行う場合は「Android Studio」をエミュレータとして活用、スマホの実機を操作することなくスムーズに診断を進行することができます。
得られるキャリア
私を含め、入社される方の大半は未経験者ですが、社会的なニーズや市場の成長が見込まれる情報セキュリティ分野でのスキルを身に付けることができます。セキュリティは日進月歩ですが、最新のセキュリティ情報、インシデントのトレンドなどが社内で共有され、セキュリティエンジニアとしての自覚が形成されていきます。
IT経験者であっても国内でもトップクラスの企業が扱う案件やプロジェクトに携わる機会は他社では得難く、刺激を受けることは多いと聞いています。