セキュリスト(SecuriST)®|認定脆弱性診断士
受講インタビューパナソニック株式会社 様
パナソニック株式会社
PBSS部門 製品セキュリティセンター 検証対策部 セキュリティ診断課
菊池 雄一 氏
今回はパナソニック株式会社の菊池氏に、認定Webアプリケーション脆弱性診断士 及び 認定ネットワーク脆弱性診断士公式トレーニングをご受講いただいた感想をお伺いしました。
ーー会社概要と事業内容についてお聞かせください
菊池 氏 インターネットを利用するパナソニック製品・サービスの脆弱性診断業務を行っています。
インターネットを利用した、パナソニック製品やサービスを販売前に脆弱性診断を行い、発見した脆弱性・リスクを開発側へお伝えし、対応してもらうことをミッションにしています。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください
菊池 氏
<認定Webアプリケーション脆弱性診断士公式トレーニング>
Webアプリケーションの脆弱性診断手順や、webに潜む脆弱性にはどのようなものがあるのか等を学ぶことができたのでとても勉強になりました。
Webアプリケーションに潜んでいる様々な脆弱性を利用した攻撃手法や原因などの説明があるためとても勉強になると思います。さらにそれらの脆弱性のデモを実施してくださるので、攻撃された際の脅威がわかりやすいと思いました。実際にハンズオン形式で簡易的なWebアプリケーション脆弱性診断(対象の選定⇒診断⇒報告・発表)が体験できるのも大きな魅力だと感じました。
ハンズオン形式で簡易的なWebアプリケーション脆弱性診断を実施した後に、公開しても大丈夫なレポートフォーマットなどを利用してレポート作成体験などがあると面白いかなと感じました。
一般的なWebアプリケーションの知識があれば問題なく受講することができると思います。
<認定ネットワーク脆弱性診断士公式トレーニング>
他社向けの脆弱性診断と自社向けの脆弱性診断で介入度合いが大きく違った印象を受けたので、とても勉強になりました。
ネットワーク脆弱性診断を実施する際の初期視点が学べる事が良いと思います。ネットワーク診断と聞いてもインターネット側・イントラネット側から、どちらから診断を開始すれば良いか、開いているポートや表面的な脆弱性にのみ注意すればよいのか等、どうすればよいかわからないといった場合が多いと思います。本講座では実際にポートスキャンやIPアドレス・ドメイン登録情報・脆弱性スキャナ結果などから得た情報をつなげて診断する体験ができるので、どのような視点で診断を行えば効果的に脆弱性が発見できるかの初歩が学べると思います。
一方、脆弱性を指摘した後の対応や診断の修正提案方法などについても内容に含まれていると良いと思いました。若干外部からの攻撃者目線が多かった気がするので、脆弱性診断員目線のお話しをもう少し増やしてほしいと思います(実際に内部ネットワークに侵入されたことを想定しての脆弱性発見や指摘などについて)。
一般的なネットワーク知識があれば問題なく受講することができると思います。
ーー最後にこれからご受講される方々に向けてアドバイスなど一言お願いいたします
菊池 氏 パケットキャプチャソフトや、ローカルプロキシツールの簡単な使い方がわかっているとスムーズに受講できると思います。
受講環境として、複数枚画面があると講義資料や講義画面などが同時に見れるので、とても楽だと思います。
講座自体はゆっくり、丁寧に実施してくださるので、わからない事があればすぐに質問して取り組むことができるのがとても魅力的だと思います。