2019年5月からセキュリティエンジニア(脆弱性診断士)として働くことになりました。
2015年にふとしたきっかけがあって、セキュリティを仕事にしたいと思いました。
約4年間試行錯誤をして、ようやくゴールにたどり着き、そして改めてスタートラインに立つことが出来ました。
自分の思い描いていたものとあっているか、違うかは分かりませんが、一区切りだと思います。
自分への励み、そしてもし参考になる方がいらっしゃたらと思い、4年間の軌跡をまとめようと思います。
目次
インタビューされました。
学び求めホワイトハッカーに 「成長の場なく恐怖」: 日本経済新聞
シリーズ「ハッカーと仕事」第1回~セキュリティエンジニア、未経験からの挑戦 – 一般社団法人日本ハッカー協会
CVE取りました。
CVE-2020-5667
JVNDB-2020-000070 – JVN iPedia – 脆弱性対策情報データベース
CVE-2020-5638
JVNDB-2020-000079 – JVN iPedia – 脆弱性対策情報データベース
CVE-2021-20693
JVNDB-2021-000031 – JVN iPedia – 脆弱性対策情報データベース
このときの仕事は社内エンジニアのサポートでした。
内容はWindowsの簡単な問い合わせ、PCの設定、プリンタの設定などです。
働いた当初はプログラミングを仕事にしたいと思っていましたので、学生時代から取り組んでいたjavaを継続して勉強していました。
目標として、oracleのjava silverを掲げていました。
ある日、ウイルス感染騒動がありました。
いつもと同じと思われた日に不審な通信が発見されました。
トラブル対応、ましてやウイルス対応などはやったことがありませんでした。
そのため、これ以上に無いほどすごく慌て、あたふたしました。
台風や地震と同じくらいには慌てていました。
結果的には、ネットワーク的に対処されていたので問題なしとなりました。
その中で、私の行動が結果的に役に立つことがありました。
それは、IPAの注意喚起の確認事項を自動化していたことです。
こう書くとすごいことをしたのではないかと思いますが、実際は大層なことはしていません。
やっていたこととしては、IPAが案内してあるディレクトリをテキストに出力するようにbatを組みました。
以下が実際のIPAの注意喚起です。
【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!
今まで、他の人から頼まれたことに取り組んで役にたったことはありましたが、自主的に行ったことで役にたったことはありませんでした。
非常に怖がりな性格だったので、自分から行動するということがありませんでした。
学歴も高卒だったため、「他の人と比べて役にたっていない」という引け目がありました。
しかし、今回の件を経て、「自分でも役にたてる」ということがわかりました。
このときからセキュリティを仕事にしたいと思っていたわけではないですが、振り返ってみるときっかけとなる件でした。
6月にあったウイルス対応の後日談として、できる範囲で監視をすることになりました。
試験運用みたいなものなので、まずは外部に委託せずにできる範囲を探ることになりました。
私が自動化のツールを作っていたので、実務担当は私となりました。
ここで初めてセキュリティの運用設計に関わることが出来ました。
目標としていたjava silver SE8に合格することが出来ました。
SE8の試験が発表されてから1,2ヶ月以内にとった記憶があります。
参考書がない状況でSE8の範囲も網羅して合格できたことはとても自身になりました。
仕事での成功体験があったため、セキュリティ業務に興味は出ていますが、プログラミングを仕事にすることを目標にしています。
監視の延長線上として、WSUS(Windows Updateを組織的に管理するやつ)の導入・構築に関わることになりました。
業務として行うセキュリティ対応は楽しかったので、嬉しかったです。
社会人2~3年目の時期、壁に当たりました。
それは「派遣のため業務選択の自由がないこと」です。
ずっとプログラミングがやりたいと思い、勉強を続けてきましたが、それは会社には伝わらなかったです。
「まずは現場で成果を出してから」と言われたので、運用業務を頑張り、セキュリティ運用の実務も任されるまでになりましたが、逆に「現場に必要不可欠だから抜けさせられない」とされてしまいました。
私自身に価値を見出してくださったのは嬉しく思いますが、プログラミングをやりたい私にとっては裏目となってしまいました。
そして、会社から言われたことは、「もっと頑張れ、期待している」でした。
今になって会社の立場になって考えてみると、運用で成果を出している人に、全く違う分野に移行させる方針は取らないだろうと思いました。
もうどうすればいいかわかりませんでしたが、新たに始まった情報セキュリティマネジメント試験を受けることにしました。
そんなに難しくなかったので、第一回の合格者となりました。
精神が落ち込んでしまい、体調不良が起こるようになってきました。
目指すものと現状とのギャップが原因でした。
社内エンジニアの業務はほぼ同じ内容です。
良くも悪くも安定しています。
内訳としては、日々の定例対応+問い合わせなどのイレギュラー対応でした。
残業も多くなく、良い現場だったと思います。
安定している反面、一日の半分ネットサーフィンをして終わるなんてことは珍しくありませんでした。
ある意味時間が出来ていたので、この時間を使って勉強したりもしていました。
この時には、セキュリティを仕事にしようかと考え始めていました。
当時は「ハッカーってかっこいい」くらいにしか思ってなかったですが、今になって考えてみると、唯一成功体験を積み重ねてきたものだったからだと思います。
運用業務は出来て当たり前なので特に何も言われない、プログラミングは仕事ではないと来て、セキュリティ関連だけが重宝されていました。
成功体験が重なったものが好きな仕事になるとはよく言ったものだなぁと感じます。
空き時間を使って勉強し、セキュリティを仕事にしたいと思い始めましたが、現状とのギャップが生まれてきました。
当時、ネットで「セキュリティエンジニア なるには」、「セキュリティエンジニア キャリアプラン」で検索しても開発で5年経験してから~とか、ネットワーク構築だか運用を3~5年~などしか出てきませんでした。
ただし、ここで現実でネットサーフィンしている自分とやるべきことをやってセキュリティエンジニアになっている方とでギャップを感じてしまい、精神がやられてしまいました。
これは半年ほど続きました。
今になって考えてみると、「セキュリティを仕事にする」ということが漠然としていたのだと思いました。
業種は幅広く、絞って検索しないと具体的な求人などは出てきません。
さらに言えば、この時やってる仕事もセキュリティ関連だったと思います。
こういうのを「世間を知らない」と言うんだろうなと思いました。
このあたりで転職を志します。
方針としては、プログラミングを3~5年やってからセキュリティエンジニアになることにしていました。
目指していたのはWebの脆弱性診断士です。
検索して出たのが脆弱性診断士とマルウェア解析だったので、現実的なものとして選んだ記憶があります。
「セキュリティ=ハッカー」みたいな浅はかな認識があったので、「攻撃を仕事にしてこそセキュリティの仕事!」という雑な気持ちがありました。
ここで転職が決まり、javaでプログラミングをやることになりました。
セキュリティを仕事にするための途中段階とはいえ、もともとプログラミングをやりたかったので、すごく楽しみでした。
継続してセキュリティエンジニアとかで調べていました。
そうすると、「セキュ塾」が出てきました。
たしか「ホワイトハッカー育成コース」みたいなのが目に入ってきたと思います。
当時の検索結果からして「ハッカー」という単語を全く見なかったので、新鮮に感じました。
よくわからないけど、やるしかない!とのことで応募して行くことになりました。
javaの開発案件が終わりました。
半年ほどでしたが、また開発案件にいこうとは思いませんでした。
Slerの下請けとしての案件で、条件や内容的には普通なものでした。
当時は、「誰かが決めた謎仕様をそのまま作る」「仕様が変わる」「かなり忙しい」というのが嫌で続けたくないと思っていました。
しかし、またまた今になって考えてみると、積み上げてきたセキュリティの成功体験に勝てなかったのだと思います。
また、「セキュリティをやるため」として、真剣に考えてなかったのも良くなかったと思います。
将来のことを考えて、無理やり点を打って繋げる行為は楽しくないんだなと感じました。
現場が異動になりました。
次の現場はというと、また社内エンジニアのサポートです。
セキュリティの仕事がふわっとしていたので、とりあえずはIPSなどのログ解析をするエンジニアになりたいと思ってました。
そこで、普通にインフラエンジニアをやる予定だったのですが、社内エンジニアのサポートになりました。
仕事内容としては2015~2017年でやっていた業務と変わらなかったです。
この頃に派遣や請負といった業務形態を詳しく調べました。
そうして、「どうしてこの仕事しか出来ないのか?」がわかりました。
望む仕事をやり続けていくには、人材派遣会社では駄目なんだと感じました。
もちろん、信頼合って深い仕事も取れる人材派遣会社もあると思いますが、そもそも外部に依頼できる仕事には限りがあると思います。
脆弱性診断業務を外注するにしても、同じ業態の会社に頼みます。
そこで人材派遣会社が候補に入ることはありません。
得意不得意の問題であり、仕方がないことです。
セキュ塾を辞めました。
理由は、金欠です。
それと、転職する気はあまりなかったというのもあります(セキュ塾はセキュリティ関係の求人も扱ってました)
ですが、たくさんのことを学ばせて頂きました。セキュ塾がなかったら、今の私は無いでしょう。
この頃に「日本ハッカー協会」が始まったとニュース記事を見ました。
セキュ塾のときもそうでしたが、「ハッカー」とつくものが少なかったと感じる時期でした。
何をする協会なのか全くわからず、直球的な名前で謎感がすごかったですが、とりあえず登録しました。
今となっては感謝でいっぱいですが、「日本ハッカー協会」が何なのか・なにするのか全くわかってなかった当時の心境は、まさに「藁にもすがる」でした。
バグバウンティの存在をしりました。
ツイッターを見ていると、No1zyさんのつぶやきがあり、ブログが書かれていました。
これを見た私は、「お金がもらえるんだ!」「実績が作れる!」ということでWebのバグバウンティに取り組むことにしました。
ちなみに、No1zyさんのつぶやきを見るまではwiresharkでwifiのパケットを見ていたり、exploit DBで脆弱性を再現して遊んだりしていました。
ここで日本ハッカー協会からご連絡があり、結果的に転職することになりました。
この日まで正直、日本ハッカー協会さんは何をしているかわからず、特にニュースにもならないので気にしていませんでした。
他の転職エージェントも使用してましたが、セキュリティ会社は少なく、5年経験が必須のものしかありませんでした。
ハッカー協会さんは(おそらく)さまざまな会社があり、未経験で入れる可能性がある会社が2社ありました。
そのうちの1社に入れました。
普通の転職エージェントを使用していたら絶対に入社できなかったので、本当に助かりました。
転職時期はなぜか会社にゴネられ、2ヶ月経たないといけないというルールもあったので5月となりました。
振り返ってみると、1年ごとにゆっくり学んでいったって感じでした。
運良く、セキュリティエンジニアにたどり着くことが出来ました。
きっかけをくださったのは大きく御三方だと思います。
セキュ塾さん、No1zyさん、日本ハッカー協会さんです。
私の人生に大きく変化を与えてくださったこと、本当に感謝しています!
この場で御礼を申し上げます!
また、ここからがスタートラインだとも思っています。
無理しないように頑張っていきます。