近年、広く使われているソフトウエアやWebサイトなどに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。このため、脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。
そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には、脆弱性診断士の資格化も目指す。取り組みの第一弾が、2014年12月末に公開した「脆弱性診断士(Webアプリケーション)スキルマップ」である(図1)。
一般的に、脆弱性を診断する技術者には多岐にわたるスキルが要求される。ソフトウエアやネットワークに関する基本的な知識を備えているのはもちろん、脆弱性診断ツールの使用方法や、最新の攻撃手法などにも精通している必要がある。
だが、脆弱性診断に携わる技術者が保有すべきスキルについて、ベンダーなどの関係者の間でコンセンサスが取れていない。脆弱性診断を実施する技術者やセキュリティベンダーのスキルには大きな差がある。一方で、脆弱性診断サービスの利用者にはその差が分かりにくく、セキュリティベンダーが説明することも難しいのが現状だ。脆弱性診断士が普及すれば、この状況を改善できる可能性がある。
今回の取り組みに参加するのは、「日本セキュリティオペレーション事業者協議会(ISOG-J)」と「OWASP(The Open Web Application Security Project) Japan」の有志。
ISOG-Jとは、企業のネットワーク監視といったセキュリティオペレーションを業務にするISPやセキュリティベンダーなどで構成される業界団体。OWASP Japanは、OWASP(Open Web Application Security Project)の日本支部。OWASPは、Webアプリケーションのセキュリティ向上を目的とする国際的なコミュニティである。
