Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。
今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします!
セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼
- Q.セキュリティエンジニアになろうと思ったタイミングはいつですか?
- Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか?
- Q.情シスからセキュリティエンジニアになるには?
- Q.Flatt Securityはどんな会社だと思いますか?
- Q.御社のセキュリティエンジニアはどのようなスキルを持っているのでしょうか?
- Q.皆さんCVEを獲得されているのでしょうか?
- Q.Flatt Securityのセキュリティエンジニアの中で流行っていることは何ですか?
- お知らせ
Q.セキュリティエンジニアになろうと思ったタイミングはいつですか?
回答者:shopper
小学校の時にブラッディ・マンデイのドラマを見て、パソコンをカシャカシャ高速タイピングをして、ハッキングしているのがかっこいいなと思っていました。でも、その後何となく情報系の大学に入り、学科選択をするまではそのことを完全に忘れていました。
そして、学科選択の際に、かなり選択肢が絞られるので、どういう進路に行こうかなと悩んだ時に「自分何やりたいんだっけ?」と考えたところ、ぼんやり小学校の時に見てたアレかっこよかったなぁと思い出しました。
そこから、自分の大学にある研究室を調べて、情報セキュリティが専門の研究室があるのを発見し、研究室が所属している学科に飛び込んだときがセキュリティエンジニアになろうと決めた瞬間ですね。
回答者:Yuki_Osaki
昨年GitLabのHackerOneのレポートを見て、大きな会社でもたくさんの脆弱性が見つかるんだなあと思い、自分でも脆弱性見つけたいなと思ったのが、セキュリティの分野に興味を持った理由です。
Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか?
回答者:pizzacat83
一口にセキュリティエンジニアと言っても色々な区分があるので、一概に「このようなことが必要」と言うことは難しいです。
一例として、弊社で Web アプリケーションのセキュリティ診断をするセキュリティエンジニアを目指すのであれば、以下のスキルが必要になるでしょう。
- Web アプリケーションを構成する技術を理解する
- Web アプリケーションに関するセキュリティ上のベストプラクティスや、セキュリティ機構の正しい使い方などを理解する
- 代表的な脆弱性について、その原理・検出手法・リスク・対策を理解する
- 以上の内容を、セキュリティの非専門家に対してわかりやすく説明する
(スマートフォンアプリ・クラウドなど別の種類のセキュリティ診断をするセキュリティエンジニアの場合は、その分野の知識・スキルが要求されることになります)
知識を身につけるには、一例として以下のような方法が挙げられます。
- 前述の事柄に関する代表的な資料を読んで理解する
- 例えば Web アプリケーションの代表的な脆弱性については書籍『体系的に学ぶ 安全なWebアプリケーションの作り方』、ブラウザのセキュリティ機構については書籍『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』がおすすめです。
- 例えば Web アプリケーションの代表的な脆弱性については書籍『体系的に学ぶ 安全なWebアプリケーションの作り方』、ブラウザのセキュリティ機構については書籍『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』がおすすめです。
- やられアプリ・CTF・バグバウンティなどで脆弱性の検出や攻撃をやってみる
- やられアプリとは、学習目的のためにわざと脆弱に作られたアプリケーションです。OWASP Vulnerable Web Applications Directoryには様々な言語・フレームワークで実装されたやられアプリがまとめられていますが、慣れている言語のものに取り組んでみると進めやすいでしょう。
- 比較的簡単な問題がある CTF としてはpicoCTF, SECCON Beginners CTF, Hack The Boxなどが有名です。自力で解けなくても、writeup を読んでやり方をなぞると勉強になると思います。
「わかりやすく説明する」スキルについては、技術ブログやイベント登壇などでアウトプットしていくのが一つの方法だと思います。アウトプットのわかりやすさについて周りの人からフィードバックをもらえるようであれば、さらに効果的でしょう。弊社でも診断報告書や技術ブログを書く際は、別の社員のレビューを受けるようにしています。
Q.情シスからセキュリティエンジニアになるには?
事業会社(SaaS企業)の情報システム部で情報セキュリティを担当しています。セキュリティエンジニアとしてキャリアを積みたいと考えています。
業務についてはプロダクトに対しての脆弱性診断の調整など考えられます。自分自身プログラミングの実務経験はなく、少しわかる程度です。何からはじめるのが良いでしょうか。(抽象的ですみません)
回答者:akiym
例えば、脆弱性診断を行うセキュリティエンジニアで考えてみると、診断対象のプロダクトに合わせて必要な知識が変わってきます。Webアプリケーションやクラウド、たまにはスマートフォンアプリケーションなど、ソフトウェアエンジニアに求められるスキルセットに合わせてセキュリティエンジニアも対応していく必要があります。
つまり、必要になった際に自身で解決できる、技術面での広く一般的な知識があることは、セキュリティエンジニアとして優位に立てるものの一つであると思います。そういった面でも、開発経験といったものが知識を得る近道ではあると思いますので、いわゆる「セキュリティ」のような知識よりも開発面での知識を深めていくのが第一歩としてはよいかもしれません。
回答者:moosan63
セキュリティの分野は広くセキュリティエンジニアといってもご質問者様の興味のある分野次第ということになりそうです。
どのような分野があるかについてはSANSが分類しているCOOLEST CAREERS IN CYBERという資料が参考になると思います。
この分類の中から興味のあるキャリアで用いられているスキルセットを調べ、それらで定番の書籍やソフトウェアについて学ぶのが良いかもしれません。
Q.Flatt Securityはどんな会社だと思いますか?
回答者:azara
社員の仲はすごく良いです。技術職・ビジネス職問わず、自身の職責に対して真摯に取り組む人が多く、適度な負荷を与え合う良い会社だと思います。
回答者:pizzacat83
- 私はインターンとして働いていますが、インターンであっても正社員と変わらず、一人のセキュリティエンジニアとしての活躍を期待してもらえる環境だと感じています。
- 前例踏襲に甘んじることなく、より良いサービスや会社を目指して改善に取り組み続ける姿勢が好きです。特に診断の効率を高めたり品質を保証したりするための、仕組みの整備やツール開発に積極的なので、自動化することが好きな私にとって仕事しやすい環境だと思っています。また合理的な意見がちゃんと聞き入れられるので、不条理に耐えながら仕事をすることがなくて快適に仕事ができます。
- ビジネス職の社員が持つ技術に関する理解度が高いです。エンジニアの経験がある社員もいますし、経験はないものの技術的な勉強に熱心な社員もいます。技術的なコミュニケーションがスムーズにできる上に、卓越したビジネススキルも兼ね備えていてとても頼りになります。
回答者:Yuki_Osaki
リーダーシップを持っている技術力の高い人が多いと思います。若い人が多いので、活気のある職場だと思います。
定期的に勉強会などもしているので、日々勉強できる環境ではあると思います。
Q.御社のセキュリティエンジニアはどのようなスキルを持っているのでしょうか?
回答者:akiym
診断時に利用する社内用のBurp Suiteの拡張を作っている人がいたり、必要に応じてツールを作ったりと開発まわりもやっている人もいます。
診断プラットフォームも内製しており、セキュリティエンジニアの業務として診断をしつつも開発もしています。
回答者:Ga_ryo_
診断に直接的に関係するスキルセットの概要的な部分は、なんとなくサービス展開を見れば分かりやすそうな気がしています。
それ以外だとHackerOneのMost Valuable Hacker取った人とか、CTFで成績を残している人とか。趣味で脆弱性報告してCVE取得しているメンバーも結構いたりします。
あと最近だと開発者としてずっと仕事をしながら趣味でめちゃくちゃHackerOneのレポート読み漁ってる人が入社してくれたこともあり、セキュリティやっているけどちゃんと開発もやりたい人間の割合は結構多いです。
Q.皆さんCVEを獲得されているのでしょうか?
回答者:ei
皆ではないですが、持っている人は多いです。
最近、自分は脆弱性探しを行っていませんが、趣味の時間で気が向いたら一気に探します。
ただし、脆弱性調査は常に行っています。具体的には、気になる脆弱性レポート(HackerOneなど)や技術ブログを普段から趣味で読んで脆弱性のパターンやバイパス手法の蓄積をしています。
また、調査結果や研究結果は社内ブログとして共有しています。
回答者:RyotaK
普段から趣味で脆弱性調査を行っているのですが、その中で見つけた脆弱性に対してCVEが割り当てられることがほとんどですね。
CVEを取るために脆弱性を探す!みたいな感じではなくて、例えばこのメッセージを書く数時間前に公開されたCVE-2023-24813は、知り合いが深刻な脆弱性を見つけていたので気になって修正パッチを読んでいたところ、バイパスできることに気がついて報告してその後CVEが割り当てられた... といった感じでした。
Q.Flatt Securityのセキュリティエンジニアの中で流行っていることは何ですか?
回答者:azara
社内全体で流行していると言えるものは少ないですが、自分の観測範囲だと二郎をはじめとしたラーメンとお酒が流行っていますかね〜
あとは、社内Slackには各カテゴリごとのチャンネルが生えているので、そこでVTuberや脆弱性、最新技術など幅広く話したり、実際に触ってみたりしている人がいますね!
回答者:shopper
ラーメン(主に二郎と家系)とお酒(ビール派閥が強い)ですかね?
あと、なんだかんだみんなお酒飲むと事業の話をすることが多く、最近オフィスに新設されたバーカウンターでビール飲みながら語るのも流行りかもしれません。
あとは、休日も脆弱性を探しているなど、普段から技術で遊んでいる人が多いですね。
回答者:smallkirby
社内の人(特に非エンジニアの方)が、日頃の業務の中で「あったらいいな」と思ったツール・ソフトのリクエストを集めたスプレッドシートがあります。Flatt Securityには開発もやりたいという人が多くいるため、やりたい人がリクエストを拾って実装します。リクエストを出す方はあったらいいなが実現してハッピー、実装する側はコーディング欲を満たせるのでハッピー、それを見ている人はなんとなくハッピーというwin-winシステムです。流行っているかは分かりません。
もっと一般的な流行りでいうと最近あまりオフィスに行ってないので正確には分かりませんが、予想するならば、スマブラ・ビール・しば犬・早寝早起きあたりだと思います。
(編集/寺山ひかり)
▼前編▼
お知らせ
Flatt Securityでは、セキュリティエンジニアの長期インターンシップを通年で募集しています!
学生の方で、サイバーセキュリティに関する学習経験のある方であれば、年齢・学年不問で応募が可能です。
この記事に登場したセキュリティエンジニアたちと一緒に働いてみませんか? ぜひお気軽にご連絡ください!
▼応募条件▼
▼応募はこちらから(お問い合わせフォーム)▼