脆弱性診断士とは、企業の情報システムやWebサービスの脆弱性に対しての的確な判断をしてくれる存在として、Webアプリケーション/Webシステムに対する脆弱性診断を行う者のことです。

「完璧な情報システムやWebサービスを運用し続けたい。」と考えるセキュリティ担当者は多いはずですが、現実的にサイバー攻撃に対する完全な防御策は存在していないために、常にシステムの脆弱性を狙うハッカーとのイタチごっこを繰り返さなければならないのが現状なのです。
そこで今後多くの企業での活躍の場が期待されている脆弱性診断士について、具体的かつ詳細に整理しました。

「脆弱性診断士」に必要な資格・スキルとは?

先に述べたように、脆弱性診断士とは脆弱性診断を行うものでですが、その脆弱性診断士に必要となるスキルには大きく分けて2つあり「問題を見つけるスキル」と「問題を解決するスキル」に分類されます。
プログラマーやシステム開発をしていく現場においては必須となる基本的な素養となります。

そして、さらに細分化した脆弱性診断士のスキルは以下の4つが必要となると考えられています。

  • Webネットワークに関する専門的な知識・スキル
  • ハードウェアやソフトウェアに関する専門的な知識・スキル
  • 各種の脆弱性に関する「診断ツール」を適切に扱うスキル
  • サイバー攻撃における最新技術の動向を知る姿勢

つまるところ問題を解決出来るかどうかという一語に集約されていくのだが、既知と未知の問題を解決するだけの専門性と経験を持つことが結果として上記の前提を担保していくことになります。

また、システム開発の分野において、さらなる細かな区分であっても対応する応用力が必要となります。

  • Webアプリケーション開発
  • 情報システム・企業の基幹システム開発
  • Webプラットホーム開発

これらの違いは簡単に言えば、ユーザー層の違いによるシステム構成やデザインの違いと言い換えられますが、開発の現場においてはシステム構成が変わるという事は「中身のコード」を書き換えている事となる為、その変化の分だけ違いも生まれ、新たな脆弱性が生まれる要因となります。

このように脆弱性診断士は様々な状況に合わせた情報システムの脆弱性に関して対応する幅広いスキルが必要となる。

脆弱性診断士スキルマッププロジェクト

特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト (代表 上野宣)」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診断士)のスキルマップとシラバスを整備しています。
引用:https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP

「脆弱性診断士」の役割とは?

大手企業や中小企業を対象に悪意のあるサイバー攻撃が当たり前のように起こる時代になったきた以上、情報システムやWebサービスの「脆弱性」がどうなっているのかを判断する事は極めて重要です。

そして、脆弱性診断士について説明をする前に理解しておくと良いのが、インシデントと脆弱性とに「違い」がある点です。

  • インシデント:事件や事故がなどのトラブルが生じている状態(事件や事故が起きうる可能性がある事も含む)
  • 脆弱性:情報システムやWebサービスにおけるセキュリティ対策の不完全さの事であり、端的に言えば情報システムにおける弱点との事。

*IPAの定義に準ずる https://www.ipa.go.jp/files/000013298.pdf

インシデントと脆弱性とにはこれらの違いが存在しており、事件が起きたらインシデント。攻撃を受けると困るのが脆弱性と考えておくと良いでしょう。

このように、脆弱性診断士は情報システムに脆弱性が存在しているかどうかを調査し、判明した問題に対して適切に対処し修正を行っていく事がその役割となります。

ではなぜWebサービスや情報システムに脆弱性が生じてしまうのでしょうか?

脆弱性が生じてしまう仕組み

それは、システム開発における「有限性」が存在している事がその大きな理由の一つであります。

例えば、情報システムの受託をしている企業がいた時、普段の納期感覚よりも半分の工数で納品するようクライアントに頼まれた場合を考えてみましょう。

そこでは必死にクライアントの求めている仕様(情報システムの構成や必要となる機能)を満たしているシステム開発をしているプログラマーやデザイナーが存在しているはずです。

そうした時に「時間」「人員」「費用」「デバック」等の時間と費用といった「有限性のコスト」を全て完璧に仕上げる事はなかなか難しいのですが、何より、今後起きうるだろう問題(未知の問題)を全て予測し、かつ対処する事すらも困難な課題と言えます。
そのような状況下において、「システムの脆弱性」は生じてしまうのです。

故に脆弱性診断士が情報システムをクライアントに納品する前や、納品をしたあとの継続的な保守・運用をしていく過程において、「情報システムの脆弱性」を見つける役割は大きな役割を果たす事となります。

「脆弱性診断士」の今後の活躍の場は?

情報システムや業務に関するシステムを保守・運用している企業はもちろん、スタートアップの企業だったとしても活躍する事が出来ると言われています。。
つまり、全ての企業においてシステムの安全性を確保したいと考えるなら、脆弱性診断士によるフォローをしてもらうセキュア(安全)なシステム運用を目指す必要性があるのです。

何事も継続することで大きな結果となり得るものですが、情報システムやWebサービスにおけるセキュリティも全く同じことで、日頃のメンテナンスを積み重ねるからこそ、安全な状態を維持することが可能になります。

安全な情報システムやWebサービスを運用することを企業目標としているなら、セキュリティ担当者は脆弱性診断士の存在を頭のすみに置いておくと良いでしょう。

まとめ

情報システムやWebサービスに隠れている脆弱性を見つけ出し、適切に対処する事が出来るのが脆弱性診断士である事を具体的にお伝えをしてきました。

システムには往々にして脆弱性があるからこそ、脆弱性診断士がいることで安全で安心することができる企業活動を行うことが可能となります。。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。