Follow Us
X
facebook
instagram
youtube

診断エンジニア

お客様からWeb診断のご依頼を受けて脆弱性診断を行い、最終的な脆弱性診断報告書をお渡しするところまで、各業務内容は標準化・仕組み化されていますが、それらがスムーズに流れるよう中核の役割を担うのが診断エンジニアです。

仕事内容

お客様の要望に応じて、診断対象のリクエスト通信をWebサイトやアプリから選定します。選定が終わると脆弱性診断で使用するテスト仕様書を作成します。テスト仕様書の作成も標準化されており、テスト設計に時間をかけることはほとんどありません。リクエストの選定結果や仕様書はお客様に連携しテストの客観性を担保。これは他社にはない当社の強みです。
仕様書はCATに登録しテスターが作業を開始できるよう段取りをします。お客様からの注意事項や禁止操作があるときは丁寧に読み合わせを行い、情報の伝達漏れを防いでいます。

テスターが実施したテストケースの結果はCATに蓄積されていきます。テスターが起票した報告を元に脆弱性診断報告書を作成し、技術チームのレビューを経て最終的な結果を取りまとめるのが診断エンジニアの仕事です。

大切にしていること 手順を守ること

診断エンジニアの私が大切にしていることは、手順を守る意識です。

脆弱性診断では結果の正確性はもちろん、安定した品質が求められます。診断の品質を改善するためのアップデートを除けば、同じ製品であれば同じ結果になることが望ましい。標準化によって誰でもできる手順になっており、その手順を守ることは難しいことではありません。

しかし自分の知識が邪魔をして手順通りに進めなかったり、少しの手間を惜しんで自己判断をしてしまうと結果にノイズが入ってしまいます。

診断エンジニアは中核を担う役割だからこそ、手順(テストケースだけでなく、各業務について)を守る意識は大切だと考えています。勝手に手順を変えることは絶対にNGであり、決められた作業手順を守ること、テストケースに書かれている期待値通りに判断すること。それが診断エンジニアの必須要件です。

使用しているツール

診断業務ではソフトウェアテスト管理ツールの「CAT」、Webアプリケーションの脆弱性を検出するための機能を備えたローカルプロキシツール「Burp Suite」、工程管理のためにGoogleスプレッドシートなども使用しています。

Burp Suiteを使用するとWebサイトやアプリとサーバーの間で送受信されるリクエスト・レスポンスをのぞき見ることが可能。ブラックボックステストである脆弱性診断ではBurp Suiteは不可欠です。

得られるキャリア

診断エンジニアとして各種脆弱性診断に関しての業務習得を終え、そこからは専門性を伸ばすか、管理にチャレンジするか、あるいは上流工程にも目を向ける人もいます。
サイバーセキュリティNo.1企業を目指す中で今までにはなかった職種、職能が必要とされる場面もあり得ます。

複数のメンバーや診断案件を管理するディレクター職は、キャリアパスの1つ。
チームメンバーのタスク状況や診断案件全体の進捗管理、品質管理を行う一方で、チームメンバーの成長を支援する役割も担っています。プレイングマネージャーと言えるでしょう。

またお客様のニーズを引き出し、適切なサービスの提案につなげるプリセールスエンジニア、お客様の社内プロジェクトに参画しセキュリティリスク低減策の策定を行うセキュリティコンサルタント、大規模顧客を直接担当するアカウントマネージャーといったお仕事も診断エンジニアから先に目指せるキャリアです。

診断エンジニアからステップアップすることで、チームマネジメントやお客様とのコミュニケーションといった、価値の高いスキルや経験を身に付けることができます。

一日(仕事)の流れ

9:00~9:30
朝礼に参加し、担当する案件の進捗を確認。上長に進捗を伝え、今の時点で確認できている懸念点を報告し指示を仰ぐ。メンバーにタスクを指示する。期限を設定することも忘れずに。
社内共有があったので朝礼でも繰り返し周知し、伝達漏れを防いだ。
9:30~12:00
リクエスト選定の結果を踏まえ、必要なリクエストをBurpに記録させつつ、適宜メンバーに共有。午後からは仕様書をCATに登録して作業を進めたいので急いで仕様書を仕上げ、社内レビューの予約をするところまで終わらせた。
12:00~13:00
昼休憩。
13:00~14:00
社内レビューを通過したので、CATに登録してメンバーに診断に着手してもらう。対象のWebサイトやアプリの操作が難しいときはこのタイミングで集まって口頭で説明をすることもあるが、今日は割愛した。
14:00~17:00
自分もテストケースに着手。思った通りメンバーからの質問がそれほど多くなかったため、大量のテストケースを進めることができた。前倒しで納品することも考えて残りのタスクを確認。
17:00~17:30
当日の進捗をツールにインプットし遅延なく進められていることを確認。お客様への質問や送付物のとりまとめも行う。
次の案件の準備にとりかかると、当社としてもあまり経験のないアプリの診断が来ていた。受領した資料も難解だったため技術チームに相談したところ、診断の進め方を助言いただいたので、案件が始まるまでにまとめてメンバーに共有する。また作業1つ1つの手間が増えることが予想されるので進捗もシビアに見ていく。
17:30~
終礼に参加、先程まとめた進捗を上長に報告する。送付物を連携し、お客様への定期連絡といっしょに送付してもらった。当日のタスクを振り返り、日報を提出して退勤した。
18:00

We are hopeful クラフは
あなたとの出会いを待っています

サイバーセキュリティNo.1企業を宮崎から目指す私たちだからこそ、社会に向けて挑める仕事があります。
成長と挑戦、そして可能性に満ちたあなたのエントリーをお待ちしています。