5.1 OJT #

OJT（On the Job Training）では、実践を通じてスキルを磨きます。脆弱性診断のOJTを効果的に実施するために、いくつかのポイントを記載します。

担当業務の段階的増加 #

脆弱性診断の業務プロセスを細分化し段階的に担当業務を増やします。

サイトの規模や技術を調査する巡回業務や、脆弱性診断の実施、報告書の作成、報告書のレビュー、お客様への診断結果の報告などの単位で業務を細分化し、段階的に担当範囲を広げていきます。

例えば、工程の始めから順に担当し実際のWebサイトの構造やHTTPなどの技術に慣れつつ、トレーナーや先輩社員からの指導を受けます。

最初はトレーナーや先輩社員とペアを組んで、同一サイトの脆弱性診断を行います。

疑問点の解消や業務の誤りのチェックを随時行いますが、段階的にチェックの頻度を減らしていきます。最終的には、脆弱性診断が完了する直前に、トレーナーや先輩社員と結果を見比べて品質を確認します。

結果に相違がないことが継続できれば、独力で診断を担当することが可能と判断されます。

脆弱性診断はチームで分業して行う場合もありますが、 OJTの最終段階では、数日で完了する小規模な診断案件を1人で担当することで、業務の全工程を経験することができます。

また、新しい技術を使用したシステムや複雑なシステムも担当することで、応用力も身につけることもできます。