3.9 脆弱性診断士の愚痴 #

脆弱性診断の診断の現場は楽しいばかりではありません。以下のように色々苦労することにも直面します。

折角脆弱性を見つけたのに… #

脆弱性を発見することで感謝いただけるケースも多いですが、問題を発見したことで担当者がその対応に追われてしまうことや修正コストが発生するために、残念ながら現実にはネガティブに受け止められてしまうケースもあります。

過去からの刺客がやってくることも #

定期的な脆弱性診断を実施する場合に、同じ個所を診断した際に過去の診断では見つからなかった新しい脆弱性を見つけたことにより苦しんでしまうケースがあるかもしれません。

もちろん改修などにより新たな脆弱性が発現してしまったケースや新しい検査パターンなどにより検出された可能性もあるでしょう。ただ、当然前回の診断での検出漏れの可能性もあるため、精神を落ち着けながら、正しく状況を見極める必要があるでしょう。

脆弱性探すのは楽しいけど、なかなか大変 #

診断対象となるシステムの規模が大きい場合には、網羅的に脆弱性を洗い出すために多くの反復的な作業を実施しなければならないこともあるでしょう。

大量の脆弱性を検出してしまったことで、確認や報告書をまとめることに苦労するケースもあると思います。また、ゲームなどとは違い必ずゴールが用意されているわけではありません。時には全く脆弱性が検出されない状況で、くじけぬ心をもって黙々と作業を行わないといけないこともあるでしょう。

高品質かつ非破壊・非影響が求められます #

日本国内では海外とは異なり、ツールだけではなく手動を併用してかつ網羅的に脆弱性を検出するような高品質な脆弱性診断が求められる傾向があります（海外ではこういった手動での診断はペネトレーションテストにカテゴライズされているケースも多いです）。

さらに大前提として対象システムには影響を与えない非破壊・非影響なことが条件として求められます。そのため、影響を与えるような行為を避けつつ、網羅的に診断の行うための知識の習得や事前の対策などが必要でしょう。また、技術的な側面だけではなく、トラブルを回避するためにシステム担当者に対して、事前の説明や入念な調整などを行う必要があり、苦労することがあるでしょう。

診断の対象となるシステムは自分では選べません #

プロフェッショナルの脆弱性診断士は、どのようなシステムが目の前に現れても相手をしなければなりません。診断士の立ち位置にもよりますが、多種多様なシステムに対して診断することで、多くの技術に触れられる機会があると思います。

ただその反面、予想もできない強敵（とんでもない仕様のシステム）があなたの目の前に現れ、苦い経験をすることになるかもしれません。