#FlattSecurityMagazineでは「セキュリティエンジニアだけど何か質問ある?」と題して、「セキュリティエンジニアに答えてほしい質問」をTwitterで募集。ゆるい質問からちょっと答えづらい質問まで、多くの質問をいただきました。
今回は、セキュリティエンジニアという職業や仕事内容にまつわる質問にFlatt Securityのセキュリティエンジニアたちがお答えします!
▼「情シスからセキュリティエンジニアになるには?」などの質問に答えた後編はこちら
- Q.セキュリティエンジニアとは?
- Q.プログラマより儲かりますか?
- Q.セキュリティエンジニアは楽しいですか?しんどくないですか?
- Q.待遇ぶっちゃけどうなんですか?
- Q.一番印象に残っている脆弱性またはインシデントを教えてください
- Q.レースコンディションって企業の実環境でも脆弱性としてあるあるですか?
- Q.好きな二郎系ラーメンはなんですか?
- お知らせ
Q.セキュリティエンジニアとは?
セキュリティエンジニアの定義を教えてほしいです。どのような業務ができるようになったらセキュリティエンジニアと名乗れるのでしょうか?
回答者:fujir
セキュリティエンジニアにも種類がいろいろあるので、定義は難しいです。弊社ではセキュリティ診断(脆弱性診断)を単独でできる人(診断からレポート作成)はセキュリティエンジニアと呼んでいると思います。
個人的には、お客様や所属している会社からお金をもらってセキュリティに従事していたり、個人でセキュリティの啓蒙活動に取り組んでいたりするなど、プロ意識を持ちながらセキュリティに関わっているのであれば、セキュリティエンジニアと名乗ってよいとは思います。
回答者:moosan63
クライアントや世界から求められた課題に対して、専門的知見をもってセキュリティソリューションの提案や実施ができる、というような感じでしょうか。
業務についてはセキュリティといっても分野によるので「これ」というのを答えるのが難しいです。弊社においてはプロダクト(Webアプリケーション、IoT、スマートフォンアプリケーション、その他)の脆弱性診断ができればセキュリティエンジニアとして働くことが可能です。
Q.プログラマより儲かりますか?
回答者:akiym
儲かってください、と願っています……。とはいえプログラマでも同様にピンキリではあると思いますので、それはあなたの目でお確かめください!
回答者:fujir
セキュリティエンジニアもプログラマもタイミングと技術力次第だと思います。
僕は新卒で開発をやってから、今の職種になったので給料は上がっていますが、プログラマもすごい技術力を持っている人は多くいるので、一概にセキュリティエンジニアの方が絶対儲かるよとは言えない気がしています。
ですが、弊社ではプログラムもかけるセキュリティエンジニアが多く在籍しているので、プログラミングのみできる方よりは儲かっている人は多いかもしれません。
Q.セキュリティエンジニアは楽しいですか?しんどくないですか?
回答者:azara
セキュリティエンジニアというものは結構幅広い言葉なので、ここでは脆弱性診断等をするベンダー側のエンジニアとして話しますが、個人としてはすごく楽しい職種だと思います。
もちろん技術的にも楽しいことがいっぱいあるのですが、顧客との距離や、そのサービスの目指したいものをセキュリティの立場からサポートできるというのが個人としてはすごくやりがいに感じていたりします。
回答者:fujir
脆弱性診断は泥臭い作業が多く、決してキラキラしている仕事ではないので、一概に楽しいかどうか答えるのは難しいです。
ですが、悪用される前に脆弱性を見つけて報告することで、お客様に喜んでいただける場合も多くあります。そういった時に、セキュリティエンジニアは楽しいというより、セキュリティエンジニアになってよかったと思います。
回答者:ishikawa
対象によって心理的コストは大きく異なり、堅すぎて何も出なかったり、そもそもの仕様が難しい場合は、辛い時間になります。しかし、様々な特徴・仕様を持つ診断対象を理解しつつ、お客様に喜んでもらえるような報告ができた時は楽しいです。
お客様との距離が近く、技術的な成果が伝わりやすいのは楽しいポイントだと思います。
回答者:Jiroken
仕事としてやる以上、診断以外の作業もありますし、なかなか脆弱性が見つけられないと黙々と診断する事になるので楽しくないと思う時もあります。
けどそれ以上に、特定の制限を回避して攻撃ができるなど、これは見逃す人が多いだろう!と思えるような脆弱性を発見できた時はめちゃくちゃ興奮して楽しいので、全体で見るとやりがいもあるし楽しい仕事です。
回答者:shopper
自分は脆弱性を発見して報告できた時が楽しいです。また、弊社の脆弱性診断サービスに関してはお客様との距離が近いので、生の声を聞きやすいです。そのため、品質に満足していただけた等の嬉しいコメントを聞けた時などは、やりがいを感じますね。
ただ、特に技術面に関しては、常にキャッチアップしていく力は必要で、そもそもセキュリティという分野を楽しめていないと、学んでいくのがしんどくなるのかなぁとは思います。
Q.待遇ぶっちゃけどうなんですか?
回答者:fujir
何が待遇が良いということなのかわかりませんが、僕自身は特に待遇に不満はありません。
過度な残業などはありませんし、フレックスなので勤務時間も多少融通が効きます。
少し一般的な会社と違うことといえば、若いメンバーが多いということです。40~50代のベテラン社会人メンバーはかなり少なく、そういったベテランの方と共に働くことや、仕事の相談をしたり、アドバイスを気軽にもらったりすることはできないというのはあります。
回答者:moosan63
自分に与えられている待遇は良いと思っています。
例えば給与面ではOpenSalaryのような各社の給与情報が投稿されているサイトを参考にすると、国内IT系メガベンチャーの中央値とかわらないくらいの額ですし、加えてSO(ストックオプション)も付与されています。
働きやすい環境を与えられているか、という面で考えた場合は仕事道具のスペックや発言の通りやすさみたいなものが考えられるかもしれませんが、どちらも良いと感じています。
仕事道具のパソコンに関してはスペックの高いものを与えられていますし、発言の通りやすさに関しては誰が言ったかよりもファクトに基づいた発言かどうかなどを重視しているカルチャーなので、社内政治によって自分の意見が通らない、などということもありません。
Q.一番印象に残っている脆弱性またはインシデントを教えてください
回答者:azara
何かしらCVE IDが振られている脆弱性ではありませんが、最近だとパブリッククラウドに対しての脆弱性リサーチが盛んになってきたのが印象的です。ここ最近だとDataDogがAWSのサービスに対してリサーチをかけていて面白いですね。
例:
回答者:ei
Electron周りで脆弱性調査をしていた頃にInkdropやMarkTextなどの著名なプロダクトのCVEがついたことですね。利用者の多いプロダクトに対して致命的な脆弱性を見つけると嬉しいです。
インシデントではないですが、Black Hat 2022 USAではElectroVoltの発表があり、VSCodeやDiscordなどの誰もが知るプロダクトを次々とRCEする様子は見ていて爽快です(内容は非常に難しいですが)。
回答者:Ga_ryo_
自分は結構上から下までどのレイヤーも好きなんですが、Meltdown/Spectreみたいなのはコンピューターサイエンス感があって好きです。
自分が関わったやつだと、なんだかんだ大規模OSSに対して初めて自分で見つけたやつが印象に残ってますかね。まぁまぁ複雑で機械的に見つけるのが難しそうなのも個人的にポイントが高いです(?)
回答者:RyotaK
なんと言ってもやはりLog4Shellですね。
CVE-2021-44228が公開された翌日の12月10日朝に脆弱性のパッチを読み始め、その後同日の午前中には部分的にバイパスできる可能性があるということをApacheのセキュリティチームに報告していました。
その後他の方が見つけた脆弱性情報と統合され、CVE-2021-45046のアドバイザリに名前が載ったのは本当に嬉しかったです。
Q.レースコンディションって企業の実環境でも脆弱性としてあるあるですか?
回答者:ei
結論から言うと、決済系でよく見かけます。
予想なのですが、排他制御の概念は非直感的なので刺さってしまうことが多いと思います。
例えば、fileの存在をチェックしてそれを変数に代入することはフローとしては極めて自然であるため、見落としがちだと思います(以下のコードは存在チェック後から代入までの間にファイルが変更される可能性があります)。
if (fileが存在するか) {
…
tmp = file;
…
}
原理については以下の文献がおすすめです。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c304.htmlwww.ipa.go.jp
Q.好きな二郎系ラーメンはなんですか?
回答者:ishikawa
関内二郎。最近は、富士丸西早稲田店や、オフィスの近く(3駅)のえどもんど。
あとは、中山、三田、目黒、神保町、藤沢、亀戸、上野毛。
行ってみたいのはNo11。
回答者:Jiroken
学生時代京都の一乗寺の近くに住んでいたので、「夢を語れ」系列が僕の中のソウルフードです。東京に来てからも色々と食べに行ったのですが、最近は東十条の「麺処 ほん田」という所が提供している二郎系にはまっています。あそこはブレがありますが上ブレの日に行くと感動するくらい美味しいのでおすすめです!
オフィス出社した日にはFlatt Securityのラーメン好きの人たちで、昼休みの間にいつも行列ができている「ラーメン二郎 神田神保町店」に行ってこれないかチャレンジ(2月時点での成功回数 0)したり、コアタイムが終わった後に一緒にラーメン行ったりするイベント(非公式)が行われているのでラーメン好きでしたらぜひ一緒にいきましょう。
(編集/寺山ひかり)
▼「情シスからセキュリティエンジニアになるには?」などの質問に答えた後編はこちら
お知らせ
Flatt Securityでは、セキュリティエンジニアの長期インターンシップを通年で募集しています!
学生の方で、サイバーセキュリティに関する学習経験のある方であれば、年齢・学年不問で応募が可能です。
この記事に登場したセキュリティエンジニアたちと一緒に働いてみませんか? ぜひお気軽にご連絡ください!
▼応募条件▼
▼応募はこちらから(お問い合わせフォーム)▼
