仕事内容
お客様の要望に応じて、診断対象のリクエスト通信をWebサイトやアプリから選定します。選定が終わると脆弱性診断で使用するテスト仕様書を作成します。テスト仕様書の作成も標準化されており、テスト設計に時間をかけることはほとんどありません。リクエストの選定結果や仕様書はお客様に連携しテストの客観性を担保。これは他社にはない当社の強みです。
仕様書はCATに登録しテスターが作業を開始できるよう段取りをします。お客様からの注意事項や禁止操作があるときは丁寧に読み合わせを行い、情報の伝達漏れを防いでいます。
テスターが実施したテストケースの結果はCATに蓄積されていきます。テスターが起票した報告を元に脆弱性診断報告書を作成し、技術チームのレビューを経て最終的な結果を取りまとめるのが診断エンジニアの仕事です。
大切にしていること 手順を守ること
診断エンジニアの私が大切にしていることは、手順を守る意識です。
脆弱性診断では結果の正確性はもちろん、安定した品質が求められます。診断の品質を改善するためのアップデートを除けば、同じ製品であれば同じ結果になることが望ましい。標準化によって誰でもできる手順になっており、その手順を守ることは難しいことではありません。
しかし自分の知識が邪魔をして手順通りに進めなかったり、少しの手間を惜しんで自己判断をしてしまうと結果にノイズが入ってしまいます。
診断エンジニアは中核を担う役割だからこそ、手順(テストケースだけでなく、各業務について)を守る意識は大切だと考えています。勝手に手順を変えることは絶対にNGであり、決められた作業手順を守ること、テストケースに書かれている期待値通りに判断すること。それが診断エンジニアの必須要件です。
使用しているツール
診断業務ではソフトウェアテスト管理ツールの「CAT」、Webアプリケーションの脆弱性を検出するための機能を備えたローカルプロキシツール「Burp Suite」、工程管理のためにGoogleスプレッドシートなども使用しています。
Burp Suiteを使用するとWebサイトやアプリとサーバーの間で送受信されるリクエスト・レスポンスをのぞき見ることが可能。ブラックボックステストである脆弱性診断ではBurp Suiteは不可欠です。
得られるキャリア
診断エンジニアとして各種脆弱性診断に関しての業務習得を終え、そこからは専門性を伸ばすか、管理にチャレンジするか、あるいは上流工程にも目を向ける人もいます。
サイバーセキュリティNo.1企業を目指す中で今までにはなかった職種、職能が必要とされる場面もあり得ます。
複数のメンバーや診断案件を管理するディレクター職は、キャリアパスの1つ。
チームメンバーのタスク状況や診断案件全体の進捗管理、品質管理を行う一方で、チームメンバーの成長を支援する役割も担っています。プレイングマネージャーと言えるでしょう。
またお客様のニーズを引き出し、適切なサービスの提案につなげるプリセールスエンジニア、お客様の社内プロジェクトに参画しセキュリティリスク低減策の策定を行うセキュリティコンサルタント、大規模顧客を直接担当するアカウントマネージャーといったお仕事も診断エンジニアから先に目指せるキャリアです。
診断エンジニアからステップアップすることで、チームマネジメントやお客様とのコミュニケーションといった、価値の高いスキルや経験を身に付けることができます。