タイムインターメディアの改ざんを元に、書かれています。

セキュリティ監査って何やるんだろう

基本的に、ポートスキャン＋攻撃コードもどきを送信して、そのレスポンスをみて
それが、本当に対応済みであるかの確認ですね。

よくあるのが、パッチ当ててあったけど、再起動してなかったとか
それも、確認できますよね。
まぁ、定期的に脆弱性検査を行うことで、緊張感などを管理者に与えたりしますね。

あとは、設定もみてくれますよ＞Apacheとかメールサーバーとか。
あやしい設定が無いかどうかとか・・・

Garbage Script on Goo BLOGさんが、追記してくれていますｗ
ありがとうございます。
http://blog.goo.ne.jp/t_iwano/e/d3189d3a00f041ba416c9a799a89df22

そうですね、ISMSなどのマネージメント的な立場も必要ですね。

全体を網羅することが必要ってことですね＜ISMS的立場。

私自信もそうだったのですが、設定自体、Portスキャンとうでみていたのですが

Nmapってデフォルトポートしかスキャンしてくれなかったり、nessusもWellKnownポートしかみてくれなかったりです。

この辺のKnowHowが脆弱性検査なんですよね。

それも体得できると思うのですが、セキュリティは常に変わって行くものですから
それに追従できるかですね、、、あと誤検知の対応があるのでそれを明確にできる力も必要ですね＞脆弱性検査

それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」
とか「自信はあるけれど（人的などの）コストの事を考えると他の人に任せた方が結果
として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して
引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。

確かにもうけられるもんじゃないですよね＞最近の脆弱性検査・・・

それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
（大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。）