前回、脆弱性診断の流れについて述べました。
今回は脆弱性診断の診断前の準備について説明していきます。
■見積
診断対象を明確にするために、見積を実施します。
見積にあたって画面遷移図やサイトマップなどを顧客から送付してもらったり、実際にWebサイトができている場合にはブラウザによる遷移とパラメータ数を確認して算出したりします。
WebAPIの診断も依頼されることがあり、その際にはマニュアルを送付してもらいます。
見積方法としては、診断対象となるWebページの画面数をカウントしたり、リクエスト数や画面遷移時のアクションに基づいて算出する方法などがあります。
■ヒアリング
診断対象についての概要やが診断環境、禁止事項などを顧客からヒアリングしていきます。
ヒアリングと言ってもあらかじめ確認内容をまとめたヒアリングシートを送付し、顧客に記載してもらうことが一般的です。
ヒアリングする項目としては以下のような内容を確認します。
・診断対象サービスの概要
・診断環境(オンプレ、クラウド、本番環境、テスト環境など)
・アカウント情報
・実施形態(オンサイト、リモート)
・実施日程
・連絡先情報
・連絡手段