業務で出来ることをする
今の業務で出来ることをしましょう。
今や、セキュリティに関連しない仕事はありません。
何をやったってセキュリティを意識せざるをえません。
出来ることをしましょう。
プライベートでも取り組む
プライベートでも取り組みましょう。
生活を変えるのに、今までと変わらない過ごし方では何も変わらないと思っています。
私はなんとかセキュリティ分野に行くため、個人的に以下のものに取り組んでいました。
- セミナー・カンファレンス参加
- CTF
- ハニーポット(Web系)
- バグバウンティ
1.セミナー・カンファレンス参加
- デジタル・フォレンジック研究会の「IDF15周年記念表彰式及びシンポジウム」。
- NICT サイバーセキュリティシンポジウム2019
- SECCON カンファレンス2018
- 情報セキュリティ事故対応アワード
平日が多かったですが、休んだり業務後になんとか行きました。
正直、内容が難しいことが多く、得られるものは少ないのですが、自分が知識が無いということを学べるいい場になったので行ってよかったです。
NICTのシンポジウムは量子暗号化とかの話で全くわからなかったのはいい思い出です。
2.CTF
セキュ塾に通っていた時期がありまして、そこからCTFに取り組んでいました。
分野はWebだけでなく、Forensic、Pwn、Network、Reverseとほぼ全部です。
初歩の箇所だけを学んで、細かいところは自習というコースです。
きっかけ作りですね。
開催されているCTFの大会に参加してみましたが、全く解けませんでした。
一般開催のやつは難しいですね。
CTFをやったことは、どんな技術があるか知るいい機会になりました。
3.ハニーポット(Web系)
2018年の3月頃からはじめました。
一番最初はT-Potという、様々なハニーポットがつまったものをやっていました。
そこから、2018年の10月くらい?からWebのハニーポットであるwowhoneypotをはじめました。
T-Potはいろんなログが見れて面白かったですが、要求スペックが高く、費用がかさんだので辞めました。
WOWHoneypot: 初心者向け! 攻撃者をおもてなしする Web ハニーポット
構築、運用もわかりやすく、費用も安い。まさに初心者向けでした。
それなのにしっかり代表的な攻撃は来るので、ありがたかったです。
そして、2019年の3月くらいから始めたのがBW-potです。
ハードルが高いと思っていた高対話ハニーポットを運用しやすいように作ってくださった方がいらっしゃいました。
本当に感謝しています!
AWS、Google Data Portal、BigQueryといったプラットフォームを使うので、これらの勉強にもなりました。
実際の攻撃に触れられたのがとても楽しかったです。
4.バグバウンティ
no1zyさんの記事で興味を持ち、2019年2月くらいのSECCONカンファレンスで本格的に始めた気がします。
当初始めた理由は、やっていた仕事があまりにつまらなすぎて、どうにかセキュリティ業界に生きたかったからです。
CTFのジャンルの中で、どれをやろうか迷っていました。
バグバウンティのことを知り、一番やりやすそうで、結果が目に見えると思って選んだのがWebでした。
この時にバグバウンティのことを知らなかったら、バイナリ解析しまくってマルウェアアナリストを目指していたと思います。
実際は全くバグを見つけられず、方法すら曖昧でしたが、知名度が高くはないバグバウンティに取り組んでいるということは一定の評価を頂きました。
まとめ
いつ、どこでも、やりたい方向に向けて取り組み続ける。
終わりに
2020年現在、転職する手段は増えてきましたが、セキュリティ関係については少ないままです。
LinkedinにもWantedlyにもセキュリティの実績を入力する箇所はありません。
githubに公表するコードも多くありません。
第三者から評価出来る点も少ないです。
自分で歩いていって、なりたいものに向かって切り開いていくしか無いです。
その途中で声をかけていただけるかもしれません。
自分から、動いていきましょう。
コメント
まるでスティーブ・ジョブズですね!
確かに熱中できることが年々減ってきている気がする。。