セキュリティ分からんのだが

 う～ん。参ったなぁ。(´・ω・`)

僕って本職はプログラマーってことになっているんだけど、実際の所は、困った話が全部僕の所に流れ込んで来る。

「有識者が一人もおらんからウズが一人で調べて何とかしてくれ」

こういう仕事が多いんだよね。

その中で最も厄介なのが、セキュリティ。

いや、何かね、この現場って「セキュリティ診断」みたいなのを定期的にやっているんだけど、その結果、「脆弱性あり」というレポートが出てきちゃうのよ。

困ってるのは、その脆弱性の理解。

「ほら、悪意ある人がこういう風にアタック仕掛けてくると、こんな風にマズい状況になっちゃうでしょ？　これはマズいよね？」

と、こういう説明が出来なければいけないわけだが。

これが本当に分からん。

「アタックの電文を４回投げた結果、１回目と２回目は論理的に同じであるが、３回目は異なる。この挙動は脆弱性があることを意味する」

は？？？？(´・ω・`)

そうなんですか？　くらいの勢いしか分かんなくて。(；´・ω・`)

言葉の意味は書いてあるとおりなんだけど、その背景にある理屈が分かんない。理屈が分かんないんじゃ報告も出来ないし。

しかも僕が思うに、このレポートはデタラメだと思う。セキュリティ診断も万能じゃないから誤検知が混ざるんだけど、その場合は「これは誤検知である！！」と断言する根拠が必要になるわけだが。

「断片的にレポート内容に違和感ある箇所が存在する」程度の精度で誤検知を主張するのも厳しいものがある。

これちょっとさぁ、教科書とか無いんかな？

本来はセキュリティの専門企業に頼むべき内容なんだけど、それだと高いから僕が代行しているに過ぎないのよ。
でもセキュリティの専門企業だって別にそんな全員がスーパーハッカー集団なはずがなくって、どこかから情報を仕入れて社内で共有しているに過ぎないんでしょ？

「仕入れ」が出来れば僕でもやれるはずなんだが。
本さえあれば僕ならそれを理解出来るはずなんよ。

英語を日本語に直訳しただけのWeb記事じゃなくって、体系的な教科書は無いんかしら。

う～ん。(´・ω・`)