脆弱性の診断とアプリケーション開発で使う脳の部位が違うのではないか?


セキュリティ事業部の宇野です。

Webアプリケーションの脆弱性とWebアプリケーションを開発するのに使う脳の部位が違うのではないか?と考えております。

なぜなら、作るという行為と脆弱性を診断するというのは考え方が全く違うからです。

例えば料理。料理を作るためにはレシピがあって、手順通りに進めていけば目的の料理を作ることができます。

脆弱性を見つけ出すという行為は医療行為でいう「病名の診断」に当たります。

人の病気を見つけ出すために、医者が相手の痛みのあるところをヒアリングをしたり、対象の部位を押してみたりして、どのような病気があるのかというのを仮説を立てて判断します。

Webアプリケーションを作る=作品を生み出す。

Webアプリケーションを診断する=作品の弱みを見つけ出す。

というようなイメージではないかと考えています。

作品の脆弱性を「見つけ出す」ので仮説を繰り返して、どこに脆弱性があるのかを試して繰り返す。

脆弱性診断は見つけ出すと徐々に楽しくなってくるんですよね。

なんでこの脆弱性ができたのか?

ある要素を組み合わせてみると脆弱性が生まれる。

こんな検査をやったら、意図しない脆弱性を発見した。

など、見つけることに楽しさを見出せるようになります。

脆弱性診断というのは、ITに付随する総合的な知識を持っていると、非常に活躍できる仕事だというのを疑ってないです。

例えば、開発の知識で言語を知っていると、アプリケーションのロジックがわかったり、改善策などもすぐに考えだせるのではないでしょうか。

脆弱性はいつどんなアプリがリリースされたとしても、どこかしらに出る可能性があるのです。
先日こんなニュースも出ました。

クレジットカードビジネス情報誌「CardWave」の通販サイトである「CardWave Online」が不正アクセスを受け、顧客のクレジットカード情報など個人情報が外部へ流出していたことがわかった。

http://www.security-next.com/073362

総合的にIT技術を高めていけば、仕事に困ることはないと思っています。

ここまで読んでいただいてありがとうございます。

  • このエントリーをはてなブックマークに追加

PAGE TOP