PR

 ソフトウエアやWebサイトに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。

 一般的に、脆弱性を診断する技術者には多岐にわたるスキルが要求される。だが、保有すべきスキルについて、関係者の間でコンセンサスが取れていない。脆弱性診断を実施する技術者やセキュリティベンダーのスキルには大きな差がある。

 一方で、脆弱性診断サービスの利用者には差が分かりにくく、セキュリティベンダーが説明することも難しいのが現状だ。脆弱性診断士が普及すれば、状況を改善できる可能性がある。

 取り組みに参加するのは、「日本セキュリティオペレーション事業者協議会(ISOG-J)」と「OWASP Japan」の有志。前者はセキュリティベンダーなどで構成される業界団体。後者は、Webアプリケーションのセキュリティ向上を目的とする国際的なコミュニティ「OWASP」の日本支部になる。

 取り組みの第一弾が、2014年12月末に公開した「脆弱性診断士スキルマップ」だ()。診断士のレベルを、脆弱性診断業務を管理する「Gold」ランクと、Gold技術者の指示で脆弱性診断を実施する「Silver」ランクに分け、それぞれに必要なスキルを250項目以上リストアップした。

図 「脆弱性診断士(Webアプリケーション)スキルマップ Ver.1.0」の一部
「Silver」と「Gold」の診断士に必要なスキルをリストアップ
図 「脆弱性診断士(Webアプリケーション)スキルマップ Ver.1.0」の一部
[画像のクリックで拡大表示]

詳細なガイドラインも公開予定

 ただ、スキルマップの各項目は、必要かどうかが「○」と「×」で記載されているだけ。どの程度のスキルがあれば「○」に該当するのかについては明記していない。これについて、まとめ役の一人であるトライコーダの上野宣代表取締役は、「判断基準などは、現在作成を進めているガイドラインで詳述する予定」と語る。2015年度中の公開を目指すガイドラインでは、具体的な診断方法なども含める予定だ。

 スキルマップやガイドラインの利用方法として、「公開当初は、脆弱性診断技術者を目指す個人が、自分のスキルレベルを調べたり、スキルアップの勉強に使ったりするケースを考えている」(上野氏)。

 今後は、「脆弱性診断士」の資格化の実現に取り組むという。現段階では、脆弱性診断に関する資格は存在しない。資格試験を実施し、合格した人だけが脆弱性診断士を名乗れるようにすれば、スキルを証明できる。脆弱性診断の能力を向上するための動機にもなる。ベンダーも、「うちには脆弱性診断士Goldが10人いる」などとして、自社の技術力をアピールできる。

 資格試験はどのような形になるのか。上野氏は、「具体的な話はできないが、興味を示しているところはある」と、実現に向けた動きがあることを示唆する。世界初の「脆弱性診断士」の資格試験が国内で始まる日はそう遠くない。