はじめに
12月のくせに飲みに行くのが少ないなーと思っている今日この頃。
鬼滅の刃に手を出してしまいました。善逸が好きです。
今日は脆弱性診断について書きます!(本業がセキュリティなのでそろそろ)
1つの記事にすると長くなるので2部構成にしますね。
前編は脆弱性診断の紹介です。コマンドなどの技術的な要素はございません。
脆弱性診断ってなんなの
サーバやPC上にある脆弱性を見つけるためにツールを使ってあれこれ処理をかけること。
「脆弱性診断」というビジネスをやっている会社様は結構あります。
診断自体をウリにしていたり、診断結果を受けてソリューションの提案へつなげる(ドアノック)などやり方は様々です。
ツールの種類
脆弱性を調査できるツールはたくさんあります。
- 有償
- Rapid7、Nessus etc
- 無償
- Nikto、OpenVAS etc
できること
言うまでもありませんが「脆弱性を見つけること」です。
ただし、対象領域(OS、ミドルウェア、アプリケーションなど)に注意が必要で診断できる・できないや得意・不得意があります。
何を診断するかによってツールを使い分けることが大事ですね。
おわりに
脆弱性診断についてざっと紹介しました。
構築したサーバとか作ったアプリって意外とセキュリティ面はザルだったりします。
ぼくたちエンジニアはインフラ・アプリ問わず「ものを作れる」は当たり前で、
あるべき姿は「最適なものを作れる」だと思っています。
機能なり設定なり過不足なく作れるようになってスタートラインですよね。
そういった気づきにつながればいいなと思います。
後編では実際にツールを使ってみます!さようなら!