3.1 どのような業務内容か #

具体的な業務内容と作業の流れ #

以下は一般的な脆弱性診断士の業務の流れです。

1. 診断対象に関するヒアリング #

脆弱性診断対象の関係者（顧客やシステム担当者）から、診断対象となるシステム・アプリケーションに関する情報・診断に関する要求内容についてヒアリングします。ヒアリングした内容を基に、実施が必要な脆弱性診断の種別や診断実施に必要となる条件などを提示して、関係者から合意を得ます。

2. 工数の算出 #

この工程では、診断に必要となる工数を算出します。工数算出の方法については、実施する診断の種別ごとに異なります。例えばWebアプリケーションの診断であれば、診断対象のWebアプリケーションをクローリングして、HTTPリクエストの数を数えて工数を算出することが一般的です。プラットフォームの診断であれば実施する診断対象のIPアドレスの数を基に工数を算出することが一般的でしょう。また、診断を実施する環境や制約事項などによって工数が変動する可能性もあるため、必要となる作業や情報について、関係者と調整した上で、工数を算出します。

3. 診断の事前調整 #

算出した工数を基に、関係者と診断を実施する日程を決定します。診断を実施するにあたって必要な準備や注意事項などを、説明した上で関係者と入念な調整を行います。

4. 診断作業 #

事前に取り決めた日程で、予定した診断作業を実施します。診断を実施する中で、システム管理者側での確認や対応が必要な事象が発生した場合には、都度関係者と調整を行いながら作業を進めます。また、危険度の高い脆弱性が検出された場合などには、事前の取り決めに従って診断期間中に速報として関係者側に連絡する必要があるかもしれません。検出した脆弱性ごとに、報告書を作成するために必要な証跡を取得します。

5. 報告書作成 #

診断作業にて検出した脆弱性について、診断実施者が取得した証跡を利用して報告書にまとめます。報告書については所属組織ごとに雛型や記載すべき内容が取り決められており、作成した報告書を他担当者がレビューして確認するなどを行うことが一般的でしょう。事前に取り決めた納期に従って報告書を作成して、関係者に提出します。

6. 報告会の実施 #

診断の結果について関係者に対して報告を行います。報告会には診断対象のシステムやアプリケーションの開発者が同席するケースも多く、検出した脆弱性のリスクや対策方法などに関して質問されることも多いでしょう。なお、報告会については、必ず実施するわけではなく、関係者側の要望によって実施しない場合もあります。

7. 診断実施後 #

報告会を実施した後にも、診断結果について関係者から問い合わせがあることも良くあり、サポートを行うこともあるでしょう。また、脆弱性の修正を行った後に、適切に対策されているか確認するために再診断を依頼されたり、当初から実施が条件として盛り込まれているケースも多いでしょう。

なお、近年では分業化が進んでいる傾向があり、調整作業と診断作業を実施する担当者が分かれているケースなども多く、部分的な工程のみを実施することもあるでしょう。

プロジェクトの期間 #

脆弱性診断のプロジェクトの期間については、診断対象の規模や条件などによって様々です。小規模のものでは数週間、大規模なプロジェクトでは数カ月かかることもあります。ただし、半年から1年以上かかることが一般的なコンサルティングなどのプロジェクトと比べれば、プロジェクト期間は短期的であるといえるでしょう。