セキュリオティ診断を受ける側、実行する側、開発をする側、求められるものがすべて違うので、立場を明確にしたほうが良いです。

ざっくりとは以下な感じではないかと。

受ける側：広く浅くセキュリティ情報に誤解を持ち込まないようにすることが必要。個人的には、徳丸本の読み込みを継続しつつ、新しい情報をユーザ寄りのセキュリティコミュニティで収集するのが良いかと。

実行する側：診断ツールの使用方法を深く学ぶ必要があるので、使用ツールに関するドキュメントの読み込みが必要。セキュリティ学習は社内で実施されると思うので、そちらを活用するのが良いです。本では最新情報の入手にスピードが追いつかないと思います。

開発する側：正直良く分かりませんが、基礎学習が重要になるかと。
ネットワーク/OS/ミドルウェア/フレームワークといったいわゆるインフラに属する技術の基礎学習を十分に行うことが必要だと思うので、各レイヤーで再度質問してみるのが良いかと。また、各種セキュリティ情報団体の報告する脆弱性情報の読み込みも重要そう。