脆弱性診断士とは

経済産業省が出しているサイバーセキュリティ経営ガイドラインにも記載があることから、脆弱性診断というのは個人的には一般化してきているものと考えている。

一方で、脆弱性診断を取り扱う会社も多く、せっかく社内で脆弱性診断のルールの統一を図ったのに「他社が安いので他社でもよいか」みたいな話が出てきて閉口することがよくある。

それでも最近は同じく経産省が情報セキュリティサービス基準なるものを用意してくれ、IPAが一定の基準を満たした事業者を公開してくれているので、結構助かっている。

ところで、外部に脆弱性診断を依頼すると金額が高額であったり、リソース調整に難儀して診断着手までに時間がかかるようなことはないだろうか？

診断業務の一般化が進む一方、診断業務に必要な人材は不足していると想定され、この辺のスキルを身に着けると、自身の市場価値が上がるのではなかろうか？

そんなわけで、脆弱性診断を生業とする「脆弱性診断士」について調べてみた。

実は「脆弱性診断士」という資格自体は2020年に初めてベンダー資格として登場したもので意外にも新しい資格である。

一方で、このベンダー資格として誕生させるまでの様々な成果物はオープンソースで公開されているため、これらの情報を参考に必要な技術を習得できると、「脆弱性診断士」と同格になると考えることもできる。

 昨今診断ツールが充実しているので良いのではとの考え方もあるが、やはりツールだけでは簡易的な検査となってしまい、機密情報を扱う外部公開システムに対しては十分とは言い切れない。

そこでツールだけでは補いきれない部分をカバーするのが「脆弱性診断士」ということになる。

ちなみに個人的にはツール診断を使いこなすレベルの人材でも結構需要があると考えている。

最近、この辺は医者の種類のような感じなのではないかと思っている。

1.ツール診断のみでの簡易診断：所謂町医者や診療所。安価で多くの人が受診可

2.ツール診断+マニュアル診断：総合病院。それなりの設備と専門の勤務医がおり、金額もそれなりにかかる。

3.フルマニュアル診断：専門病院。業界的にも名の通ったスペシャリストが直々に診察するが、超高額。

セキュリティベンダー等で今後診断をメインで実施していくような方は、是非上記の3.を目指してほしいが、個人的には1.の町医者レベルをまずは目指したいと考えている。

自身はセキュリティエンジニアではなく、セキュリティマネージャーなので、特定の狭い領域を深掘るのではなく、幅広い領域を均等に抑えておく必要があると考えている。

いろいろ資料を探していたら、参考資料がたくさん見つかったので、残しておきます。

・脆弱性診断士スキルマッププロジェクト
　-脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス（バックアップ）
　-脆弱性診断士（Webアプリケーション）スキルマップ＆シラバスについて（バックアップ）
　-脆弱性診断士（プラットフォーム）スキルマップ＆シラバス（バックアップ）
　-脆弱性診断士（プラットフォーム）スキルマップ＆シラバスについて（バックアップ）

・安全なウェブサイトの作り方

Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成できることを目的としてIPAより公開されている資料。メジャーなWebアプリケーションの脆弱性に関する脆弱性の概要、発生しうる脅威、一般的な対策方法などが記載されています。また、ウェブサイト全体の安全性を向上させるための方策や具体的な実装例などを伴ったウェブアプリケーションに脆弱性を作りこんでしまった「失敗例」についても解説されています。

・なぜ自社で脆弱性診断を行うべきなのか（バックアップ）

Webアプリケーションの脆弱性診断における自動診断と手動診断のそれぞれの特徴や、診断業務のやり方について記載されています。また、脆弱性診断を自社で行うことによるメリットについて、コストや品質の面から解説がされています。

・星野君のWebアプリほのぼの改造計画 

会社の「Web担当」に配属された星野君が、Webアプリケーション開発業務の中で様々なセキュリティの問題に直面し、解決をしていく日常が対話形式で描かれています。Webアプリケーションの開発において、作りこまれやすい問題の原因や対策について学ぶことができます。

・Burp Suite関連
　-Burp Suite ハンズオントレーニング資料：1.HTTP基礎入門（バックアップ） 
　-Burp Suite ハンズオントレーニング資料_2.Burp Suite導入・操作（バックアップ）
　-Burp Suite ハンズオントレーニング資料_3.Burp Suite実践編（バックアップ）
　-Burp Suite ハンズオントレーニング資料_4.Burp Suite回答編（バックアップ）

Burp Suite Japan User Groupより公開されているBurp Suiteを用いて脆弱性診断を学ぶことを目的として開催されたハンズオントレーニングの資料です。 HTTPに関する基礎知識やBurp Suiteの基本的な操作方法についても解説されており、Burp Suiteを用いてXSSやSQLインジェクションの脆弱性を検出する方法を学ぶことができるでしょう。

　-Burp Suite Startup マニュアル（バックアップ）

Burp Suite Japan User Groupにより公開されている資料です。Webアプリケーションのセキュリティ診断で活用されるプロキシツール「Burp Suite」における、インストール方法から診断をする上で必要な設定や各種機能の利用方法について、図や実際の画面キャプチャを用いて説明されています。初めて「Burp Suite」を使用される方におすすめの資料です。

・OWASP ZAP
　-OWASP ZAP マニュアル Ver.2.1.0版（バックアップ）
　-OWASP ZAP マニュアル　Ver.2.10.0版
　-ZAP Handbook in Japanese

ZAP Evangelistとして活動されているYuhoKamedaさんが、OWASP ZAP関連の日本語資料について解説しているサイトです。ZAPを使って診断を行うための解説や、OWASP Top10の脆弱性をZAPを使って見つける診断方法を日本語で公開しています。

　-OWASP Testing Guide（バックアップ）

OWASPが提供するセキュリティテストに関するガイドラインです。セキュリティテストが備えるべき診断項目や手順などが紹介されています。

・HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書（バックアップ）

JPCERT/CC発行のHTML5セキュリティに関する調査報告書です。HTML5特有のテスト観点の整理や、開発時に気をつけるべき事項が紹介されています。（一部古くなっている記述もあります。）