ディレクターが語るクラフの仕事紹介
こんにちは、ディレクターの佐藤雄亮です。前回の記事では自己紹介と配属部署について書かせて頂きました。
入社から1年が経過しましたので、今回は、より具体的なお仕事内容などについて書かせていただければと思います。
脆弱性診断がメインの仕事
お仕事の中で一番多いご依頼がWEBアプリケーションの脆弱性診断のご依頼です。
WEBアプリケーション診断では、国際的なセキュリティ診断基準に沿って、HTTPリクエスト単位で脆弱性の診断を行うサービスです。
代表的なところでいくとSQLインジェクションやクロスサイトスクリプティングといった攻撃を試みて脆弱性がないかを診断していきます。
私の所属部署では、受注前の診断対象となるHTTPリクエストのお見積り、お客様提案の役割を担っていて、実際にお客様のサイトをプロキシツールを介してクローリングしたり、画面仕様書等から診断対象となるリクエスト数を一覧に起こしてお見積りを行っています。
URLやパラメータの内容を確認し重複を省いて無駄のない形にすることに加えて、GET、POSTといったメソッドの違い、重要情報を扱うリクエストなど、より優先度の高いリクエストに絞り込んだパターン出しなども行ってお客様に提案を行い、脆弱性診断実施へ繋いでいくというのが一連の業務の流れとなります。
これまでの経験が活かせる
脆弱性診断業務をしている企業に入って、全く違う分野かと思っていましたが、これまでに経験してきた業務の知識がところどころで役に立っています。
例えば、これまでにECサイトを数多く作ってきたので、HTTPリクエストの仕組みはイメージしやすかったです。優先度の高いリクエストの絞り込み方などもすぐに理解することができました。
他にも、サイトを見ているとこのサイトはWordPressで出来ているなということに気がつき、普通にクローリングしているだけでは出てこない管理画面ログインのリクエストも診断対象として追加しておいたりなど、これまでの経験から判断できることもあります。
WEBディレクターの場合は、どちらかというと機能要件や見た目の部分を詰めていったり、全体的な進行管理などがメインでしたので、正直細かなHTTPリクエストの内容などは気にしなくてもサイトは作れていたのですが、これまでの経験と脆弱性診断のお見積り業務がうまくかけ合わさりスキルアップに繋がっているなと感じます。
以上が具体的な業務内容と実際の業務を通して感じたことになります。
情報セキュリティ≠難しい
情報セキュリティ企業と聞いてあまりピンとこない方も多いかと思いますが、私自身は、記載させていただいたように今までの経験をベースにしながらやっていけそうだなと入社後の数ヶ月で感じました。
似たようなキャリアでKRAFに興味を持ってこの記事を読んでくださっている方の参考になればと思います。
他にもプラットフォーム診断、クラウド診断、スマートフォン診断、負荷試験と様々な診断サービスがあるので学ぶべきことは多く、毎日たくさんのお客様からのご依頼をいただいている状況ですので、1つずつ知識の幅を広げてより多くのお客様の力になれるような働きができればと思います。
ここまでお読みいただきありがとうございました。また次回もよろしくお願いいたします。
