セキュリスト(SecuriST)®|認定脆弱性診断士
受講インタビュー パーソルプロセス&テクノロジー株式会社 様
パーソル プロセス&テクノロジー株式会社
ビジネスエンジニアリング事業部
セキュリティ統括部 コンサルティングG
Threat Intelligence lab
光安 優 氏
今回はパーソルプロセス&テクノロジー株式会社の光安 優 氏に認定脆弱性診断士(認定Webアプリケーション脆弱性診断士 及び 認定ネットワーク脆弱性診断士 公式トレーニング)を受講いただいた感想をお伺いしました。
ーー会社概要と事業内容についてお聞かせください
光安 氏 パーソルプロセス&テクノジーでは、パーソルグループ内において「IT・アウトソーシング事業」を担っており、セキュリティ統括部では約100名のセキュリティに特化した人材が所属しており、要件定義から運用・保守までの全フェーズでのセキュリティ製品のインテグレーションや、顧客先常駐サービスとしてCSIRT・SOC運用業務、脆弱性診断業務、コンサルティング業務あるいはコンサルティング支援業務で実績を上げております。
ーー所属部署やお仕事内容、ご自身のミッションについてお聞かせください
光安 氏 私が所属するコンサルティングGでは、社外にはCSIRT・SOC運用支援やセキュリティコンサルティングなどを提供し、当社内では新規サービスの企画推進やパーソルグループを横断した施策においてセキュリティ分野を担当しております。 その中で私は、これまでアウトソーシングとして脆弱性診断業務に従事していた経験を生かして、モビリティにおけるセキュリティやMITER ATT&CKを活用した施策などに携わっております。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください
光安 氏
<認定ネットワーク脆弱性診断士公式トレーニング>
現在の部署に配属される以前はアウトソーシングとして脆弱性診断業務に携わっておりました。アウトソーシングでは顧客の業務理解が重要ですが、診断業務に関わる契約関係のお話などどうしても見えずらい部分もあります。当講座では診断業務に関わる免責事項といったお話も含まれており大変有意義であったと思いました。
講座の内容は、脆弱性診断業務に携わっていた方であれば、すでにご存じの内容ばかりだと思います。認定脆弱性診断士講座は、診断の基本的な事項がしっかりと含まれており、これから脆弱性診断業務に携わる方へのイントロダクションとして最適と思いました。講座は2日間と短いため、診断業務上、重要な検出脆弱性のリスク評価については調査の手がかりの解説となりますので、本講座を基に業務でブラッシュアップしていく必要があると思います。
<認定Webアプリケーション脆弱性診断士公式トレーニング>
講座は2日間と短いため、WEBアプリケーションの脆弱性ついては解説のみとなりますが、診断業務で遭遇する脆弱性にはある程度偏りもあることから、あまり遭遇しない脆弱性について振り返ることができました。
講座内で診断チュートリアルがしっかりと行われるため、これから診断業務に従事する方のみならず、WEBアプリケーションを開発されている方で品質向上や第三者による脆弱性診断による手戻りの軽減などを目的とする場合でも活用できるのではないかと思いました。ただし、受講する際にはWEBアプリケーションや脆弱性について予習をしておく必要はあると思います。
最後に、脆弱性診断士のシルバーランク相当の内容とのことでしたので、ゴールドランク相当の講座および認定についても期待しております。
ーー最後にこれからご受講される方々に向けてアドバイスなど一言お願いいたします
光安 氏 認定脆弱性診断士講座は、脆弱性診断業務の一連の流れと手法を2日間で学ぶことのできる講座です。脆弱性診断に必要な要素が実務レベルで盛り込まれておりますが、2日間という短期間のため理解が追い付かないこともあるかと思います。そのため、特にWEBアプリケーションの脆弱性については、ある程度の予習を行って受講されることをお勧めいたします。