Hello there, ('ω')ノ
脆弱性調査前チェックリスト① 調査対象の範囲確認
- [ ] どのシステムが対象か(社内ポータル、API、アプリなど)
- [ ] テスト環境 or 本番環境か
- [ ] 調査対象のサブドメイン一覧を確認済み
- [ ] 管理画面・バックエンドが含まれるかどうか確認済み
脆弱性調査前チェックリスト② 権限とルール確認
- [ ] 社内から許可を得ているか(情報システム部門など)
- [ ] テスト範囲や注意事項を関係者と共有済み
- [ ] ログインアカウント(テスト用)を準備済み
- [ ] 必要に応じて開発チームや管理担当者へ事前連絡済み
脆弱性調査前チェックリスト③ ツールや環境準備
- [ ] ブラウザ開発者ツール(F12)を使える状態か
- [ ] プロキシツール(Burp SuiteやOWASP ZAP)を準備済み
- [ ] テスト用端末(PC・スマホ)を用意済み
- [ ] スクリーンショットやメモ用ツールを準備済み
脆弱性調査前チェックリスト④ 影響範囲を意識する
- [ ] テストによってサービス停止やデータ消失の可能性がないか確認
- [ ] ログや監査データへの影響を関係者と事前相談済み
- [ ] 実施時間帯(業務時間外など)を調整済み
脆弱性調査前チェックリスト⑤ 報告・記録用の準備
- [ ] 調査結果をまとめるフォーマットを準備済み(ExcelやNotionなど)
- [ ] スクリーンショット保存場所を決めているか
- [ ] 重大リスク発見時の報告ルートを確認済み
まとめ版チェックリスト
✅ 調査対象の範囲確認
✅ 権限とルール確認
✅ ツールや環境準備
✅ 影響範囲を意識する
✅ 報告・記録用の準備
注意事項
- 本番環境でテストを行う場合は、必ず関係者全員へ事前連絡すること
- テスト対象外のシステムやサービスには触れないこと
- ログや証跡を適切に残し、後で振り返りできる状態をキープすること
まとめ
- 脆弱性チェックは「準備9割、実施1割」
- 毎回同じ流れを守ることで、作業効率もリスク管理も安定する
- チェックリストを活用して、抜け漏れ防止と品質向上につなげる
Best regards, (^^ゞ
