思ってたのと違うぞ…… 初めての脆弱性診断ソロ案件でぶつかった二つの壁とそこからの学び 若手診断員の奮闘記④
初めて任された仕事って覚えてます??
ありがたいことに、絶賛繁忙期中! 毎日バタバタ、ちょっとした隙間にふぅとしていると、あれ、こんな時間?! 気付けば1日終わっているといった日々を過ごしております。あーちゃんです。
突然ですが、皆さんは初めて任された仕事って覚えていますか?? アルバイトでリーダーを任されて一定時間の責任者を任されたり、社会人になって初めて案件の主担当を任されたり……! 後者はまさにちょっと前の私なのですが(笑)。今日はこの話をしようと思います。
若手診断員の奮闘記シリーズは、こちらからご覧いただけます。
- たかが指摘、されど指摘……この脆弱性はどの指摘?
- 初めてのオンサイト診断! 行ってみて分かったリモート診断との違い
- バグと脆弱性って何が違うの? 脆弱性診断の結果判定で迷ったときの考え方
- 思ってたのと違うぞ…… 初めての脆弱性診断ソロ案件でぶつかった二つの壁とそこからの学び ←本記事
あーちゃん初めてのソロ案件
時はさかのぼること、去年。いい加減涼しくならないかなと思ってきた頃、とある診断の依頼がABURIDA®に来ました。
ちょうどブログを書き始めた頃だったので、「そろそろ診断員デビューしてしばらくたつし、やってみたらどうかな?? ブログのネタにもなるんじゃない??」とのことで、あーちゃんに案件の主担当のお話が回ってきたのです! 初めてそのようなお話をいただいたので、ちょっとうれしくなっちゃいました!!
しかし、主担当になると、開発会社の方やWebサイトの運営の方などと直接やりとりをしたり、スケジュールを組んだり、進捗を維持したり、いつも先輩方がやってくださっていることを自分で全部やることになります。なかなかの挑戦……、試されてる……。何としてでも成功させたい!と意気込み、診断期間を迎えました!
▍第1の壁:楽しいと聞いていた事前調査/終盤で問題が多発する事態に!
さあ頑張ろう!と意気込んで始まった案件。そういえば、事前調査もしっかり行うのはOJT以来だな~なんて思いながら作業を進めます。もうすぐ終わりそう!!と思ったところで、条件によって遷移が変わったり、行けるはずの画面が見つからなかったり、APIの疎通がなぜかできなかったり……(涙)。終盤になって問題がボロボロ出てきてしまいました……。あれ、思っていたのと違うぞ……。事前調査、先輩楽しいって言ってたぞ……。ここでも先輩方の偉大さを痛感しました。
気を取り直して。こういうのっていっぺんに全部聞いた方がやり取りが少なくて、相手の方の負担も減るよね! 研修で似たようなこと経験したぞ!と思い、何とかできるところまで進めて、初めて先方とのやり取りを本格的に始めました。
▍第2の壁:過信していたコミュニケーション/想像以上に難しい! 日本語&お客さまとの連携
以前の記事にも書きましたが、ABURIDA®チームは基本的にフルリモートでお仕事をしております! そのため、電波を介したコミュニケーションは毎日散々行っているので、得意分野といっても過言ではありません!と思っていたのですが……。まさかのコミュニケーションが一番大変でした……。
まず、日本語の問題が自分に降り掛かりました。ビジネス文書というのでしょうか。日本人を20年以上もやっているのに、出したい日本語が出てこないだと?! チャットベースの会話は毎日行っていても、アットホームで個性あふれるメンバーに普段囲まれてぬくぬく診断を行っているため、実は先輩方とのやり取りもしゃべり口調のようになってしまっているのです。先輩方への甘えがこんなところにも……! 普段がそんな感じのため、相手の方には絶対に失礼がないように……と、いつも以上に神経を使って文章を書いておりました(書きっぷりから察してください……笑) 。
それから、なるべく必要最低限のやりとりに収めよう!とまとめて質問のやりとりをするようにしていたのですが、やりとりが必要なタイミングがだんだん分からなくなってきてしまいました。その結果、どんどん時間が無くなってしまい、自分で自分の首を絞めてしまっていましたね…。
また、診断後のお客さまから頂いた疑問点にも回答させていただきました。指摘した脆弱性に関してのご質問だったのですが、お客さまが何を意図してご質問されているのか、潜在的な部分を短い文章から読み取って簡潔に伝えるって、本当に難しいなと感じました。これも先輩に相談して回答したのですが、先輩はものの数秒で「そうそうこれこれ!」という文章を作ってくださって……。伝えたいことが伝えられないことの原因は、8割伝える側にあるといった言葉を体感しました。
さまざまな観点で1歩先のご案内をしたり、それを伝えるにあたっての言葉の選び方も大変勉強になりました。今改めて考えてみると、お客さまは私たちのように毎日脆弱性診断に触れているわけではないため、この先のことが不安になることも多いだろうなと思いますし、何よりABURIDA®の根幹である「お客さまにしっかり寄り添う」が体現できているなと。今回は自分のことで精いっぱいになってしまい、周りを全く見られなかったため、次につなげたいですね!
ソロ案件を通して学んだことのまとめ
こんな感じでさまざまな学びを得た案件期間だったのですが、今後の自分のため、そして、この記事を読んでくださった未来の診断員の方々に向けて……! 今回の学びは、まとめると以下の通りです!
①お客さまの立場になったコミュニケーションを心がけるべし!
→一歩先のご案内や、文章から質問の本質を意識する
②問い合わせは随時行うべし!
→タイミングをなくす前に行動! スケジュールが遅れる方が後々大変!
③サイトがうまく動かないことは意外とよくある
→事前調査や診断中に、頂いた資料通り操作してもうまくいかないことは診断あるある。このパラメータはどのような値が入るのだろう、このAPIは画面からリクエスト取得できるものなのか否か、そもそもどうやってこのリクエストを取るんだろう……。「聞きたいけど気を遣う」のせめぎあいになりがち。聞く側は、状況とやってみたことを列挙して質問すると吉!
ABURIDA®の脆弱性診断サービスは、ちょっとした不安にも寄り添います!
ただ診断をして報告書を提出するだけで終わらないのがABURIDA®の脆弱性診断サービス! 診断を始めるにあたっての疑問や不安、診断後の報告書の内容についてなど、お客さまが納得するまで向き合わせていただきます! また、脆弱性診断以外のセキュリティのご相談にも対応させていただきます。ぜひご気軽にお問い合わせください~!
こんなお問い合わせでもお気軽にご相談ください!
- 運営しているサイトがDoS攻撃を受けてしまった
- ECサイトの買い占め問題、セキュリティの力でどうにか解決できませんか……?
- APIの脆弱性診断について詳しく教えてほしい
ハイブリッドWebセキュリティ診断「ABURIDA®」(アブリダ)|株式会社信興テクノミスト
まとめ
いかがでしたでしょうか……?
今回は事前調査から報告書の提出まですべてのフローを私が担当する、初めてのソロ案件について、皆さまにお付き合いいただきました! 初めて私にとって大きなお仕事を任せていただけたことはうれしかった半面、予想外な展開や経験不足が勝ってしまいやっぱり大変でしたが、今後の自分のためのいい機会だったなと思っております。
これからも日々成長! 立派な診断員になれるよう頑張ります!!
それでは!
ライター/あーちゃん
新卒で株式会社信興テクノミストに入社し、脆弱性診断の世界に飛び込んでみた普通の20代。診断員歴は、半年とちょっと(2024年8月現在)。好きな脆弱性は「権限周り」(診断員はよく自己紹介に好きな脆弱性を言いがちですが、脆弱性って良いものではないので、「好きな」という表現は違うよね??と毎回思います。でも書いておきます)。
趣味は、おいしいご飯を食べること、アイドルを眺めること、観劇。日々の趣味を楽しむために働いております! 生きがいです!! 先輩方の背中を追いかけながら、日々脆弱性と向き合っております! まだまだ駆け出しですが、世の中の方々が安心してWebアプリケーションを利用できるよう、日々成長中です!