セキュリスト（SecuriST）®｜認定脆弱性診断士
受講インタビュー株式会社　日本総合研究所 様

今回は株式会社　日本総合研究所の阿部氏に認定脆弱性診断士（認定ネットワーク脆弱性診断士 公式トレーニング）を受講いただいた感想をお伺いしました。

ーー会社概要と事業内容についてお聞かせください

阿部 氏　日本総研の事業活動は、シンクタンク、コンサルティング、ITソリューションの3つの機能によって行われています。それぞれの機能を担う各事業部門では、企業や社会に対する新たな課題の提示・発信から、課題に対する解決策の提示と解決への取り組み、新たな市場や事業の創出など多岐にわたり、それぞれの分野で企業や社会が求める創造的な付加価値を生み出しています。ITソリューションに関しては、SMBCグループ各社の基幹業務システムを中心に、より高度で安定的な金融サービスを提供に取り組んでいます。

ーー所属部署やお仕事内容、ご自身のミッションについてお聞かせください

阿部 氏　セキュリティ統括部に在籍しており、担当業務は三井住友銀行をはじめとするSMBCグループ各社の基幹業務システムを中心としたセキュリティアラートの監視/分析作業です。脆弱性を突いた攻撃等のアラート発生時は、システム所管部署、開発部署等と連携し影響有無の確認や影響範囲の特定を行います。
実運用上は誤検知（フォルスポジティブ）も当然発生するので、分析対象数は少なくありません。より効率的な業務遂行に向け、セキュリティ面と運用面の両方の改善を常に意識しております。

ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想（良かった点/改善すべき点）、ご自身の現状のスキルから見た講義のレベル感（難しかった、易しかった）などをお聞かせください

阿部 氏　セキュリティインシデントにつながる攻撃が発生した際は、侵入経路を特定する上で攻撃者側の観点を知ることが重要と感じています。本トレーニングを受講することで、OSINTなどインターネット上の情報を元にした攻撃対象の推定・調査といった、脆弱性を突く攻撃の「入り」に関して知識を深めることができました。

診断に関する知識を体系的に学ぶ機会は他ではあまりなく、非常に貴重なものでした。レベル感に関しては、用語としては聞き馴染みのあるものがほとんどでしたが、細かな仕様や原理は知らないものが多かったです。特に講義において口頭で補足説明いただいた内容が有用でした。

ラボ環境（OpenVAS）は動作が重いため、操作画面を見ることを前提にして話を進めていただく方が良いと思いました。

ーー最後にこれからご受講される方々に向けてアドバイスなど一言お願いいたします

阿部 氏　セキュリティ業務を始めたばかりの人でも理解しやすい内容で、診断に限らずセキュリティ業務従事者にとって意味のある知識が学べると思います。