Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 amazon.co.jp

仕事で脆弱性検査ツールを検討する機会があり、この分野は完全に素人なので買った。会社では検査会社に依頼して、脆弱性検査を受けているプロダクトもあるので、それを想像しながら読んだ。

P11 によると、この本は脆弱性診断士「Silver」相当の技術を身につけることを目的としているらしい。OWASP Japan にも脆弱性診断士のスキルマップやシラバスが掲載されている

世界初の資格化を目指す、「脆弱性診断士」の取り組みが始まる(4ページ目)|日経 xTECH(クロステック) )

脆弱性診断士のスキルマップやガイドラインの利用方法として、上野氏は「公開当初は、脆弱性診断技術者を目指す個人が、自分の現在のスキルレベルを調べたり、スキルアップの勉強に使ったりするケースを考えている」と述べる。

そして今後は、「脆弱性診断士」という資格につなげたいと語る。「現在、脆弱性診断に関する資格は、私が知る限り存在しない。今回のスキルマップとガイドラインが、脆弱性診断士の資格化に向けた指標になればと考えている」(国分氏)。

↑ 2015/03/13 からアップデートはなく、まだ資格はないようだった。

この本をざっと読んでみて、これだったら検査会社に頼んでしまうかなーという感想。とは言え、予算や手間の関係上、頻度は上げられないと思うので、VAddy 等のサービスを CI に組み込んで併用するのがやはり現実的か。

[インターンレポ] Web脆弱性診断スキルマップのシルバーランクを目指す|Money Forward Engineers’ Blog

↑ Money Forward は脆弱性診断の内製化を進めているらしい。1 年半ほど前の記事だから、もう内製化したのかな?

そもそも Heroku 上で Rails を使っていて各種ライブラリも最新、かつ GraphQL を導入しエンドポイントが少ないサービスだと、検査会社を使ってまで脆弱性検査いるの?という大きな疑問があり、これは解消されなかった。この類いの例はたいがい、素の PHP だったりするので…。

P278 で紹介されていた Google Hacking Database (GHDB) は知らなかった。

例えば https://www.exploit-db.com/ghdb/3888 には RSA の Private SSL Key を Google 検索するテクニックが載っている。

“BEGIN RSA PRIVATE KEY” filetype:key -github

脆弱性診断士でないと必要なさそうな情報だけど、知っておくといつか使うかも(?)