EGセキュアソリューションズの入社試験ではウェブ健康診断実技を実施しています

EGセキュアソリューションズ株式会社では、一緒に働く仲間を募集しています。弊社はウェブアプリケーションのセキュリティを専門分野にしていますので、ウェブアプリケーションの開発経験のある方は特に歓迎いたします。セキュリティの専門知識や経験は、入社いただく時点では必須とはしておりません。

セキュリティの業務経験がない方に対する適性試験として、弊社ではウェブ健康診断仕様にもとづく脆弱性診断の実技体験をしていただいています。実務経験がない方が対象ですので、脆弱性診断のやり方はCTO徳丸が説明いたします。下記は、実技体験に用いるソフトウェアが動いている画面のイメージです。

• ウェブ健康診断仕様記載の脆弱性「全部入り」のWebアプリケーション(VMware)
• ブラウザ(Firefox)
• Burp Suite Professional

上記はログイン画面でSQLインジェクション検査をしているところで、なにやらエラーメッセージが表示されています。

実技体験では、徳丸の説明の後、実際に脆弱性診断をしていただきます。その様子を観察することで、実技試験としています。
　その際、手が早く動くことが高ポイントであるとは限りません。脆弱性診断は、ブラックボックスの中身を推測できることが重要であり、その際に、ウェブアプリケーションの開発経験が役に立ちます。そのため、診断中に表示されるさまざまなエラーメッセージに対して、徳丸が質問をしますので、その受け答えが重要な判断材料になります。以下の様な感じです。架空の応募者を高橋と表記します。

徳丸: それでは高橋さん、このパラメータについてSQLインジェクション検査をしてください。
高橋: 分かりました…あっ、なんかエラーがでました
徳丸: 先ほどのエラーと同じですか?
高橋: 違いますね。File not foundと出ていますので。
徳丸: 中で何が起こっているか、推測できますか?
高橋: …シングルクォートをファイル名としてファイルオープンしたが、そのようなファイルはなかったのかと…
徳丸: 素晴らしい! それでは…

その際、脆弱性の名前を正答することが重要なのではありません。エラーメッセージから、アプリケーション内部で起こっていることを推測できることを重視いたします。セキュリティの知識は、入社してからいくらでも学習できますが、デバッグの勘所のようなものは、セキュリティ実務だけでは習得が難しいからです。

徳丸が自らテストをするということで、「お腹が痛くなりそう」と言った方もおられますが、脆弱性診断の基礎の基礎が習える機会とでも考えていただいて、気楽にご応募下さい。ただし、冷やかしでは困りますが（笑）。

皆様の積極的な応募をお待ちしています。応募を希望される方は、こちらの「話を聞きに行きたい」ボタンをクリックしてください。