- 【前編はこちら】未経験から転職可能なセキュリティエンジニアの職種
- SOCアナリスト
- 脆弱性診断エンジニア
- ①NW(プラットフォーム)脆弱性診断エンジニア
- ②Webアプリケーション脆弱性診断エンジニア・スマートフォンアプリケーション脆弱性診断エンジニア
- ③IoT脆弱性診断エンジニア
- セキュリティ製品エンジニア
- ①製品特化エンジニア
- ②エージェンシー(技術商社)
- 【中編はこちら】現在の経験に応じた可能性分類
- 自己研鑽方法
- まとめ
セキュリティエンジニアのキャリアについて、私のノウハウを洗いざらいまとめたコラムも今回が最終回です。最後はセキュリティエンジニアになるための自己研鑽方法について詳しくご説明します。
3. 自己研鑽方法
自己研鑽については極論「やりたいことをやれば良い」です。
やっていくうちに「セキュリティの中でもこの分野は向いてないな、こっちの方がやってて楽しい」と気づくこともあるでしょうし、何より楽しくなければ続きません。
例えば「元々Web脆弱性診断に憧れて研鑽をして見たが、やっぱり私にはプログラミングは合っていない…。インフラの方がしっくりくる」ということであればそこで方向性を変えるのも一つということです。
そのため以下に記載する自己研鑽方法についてはあくまで一例です。
※実際私が面談した方の場合、その人により「これをやった方が良い」というアドバイスは異なります。
(ア)資格
資格として未経験でまず挑戦するならば「CompTIA Security+」がお勧めです。
日本の資格なら情報セキュリティ管理士(旧情報セキュリティ検定1級)も近いものがありますし(日本の法律について細かい点が差にはなりますが)、国試ならまず無理をせず情報セキュリティマネジメント試験を視野に入れた方が良いです。
できれば情報処理安全確保支援士(旧セキュスペ)を取れると良いですが、未経験の方の場合なかなかハードルが高いため無理をせず一歩ずつやった方が良いです。
本当にできる人や経験者であれば、さらに上のSANS系資格(GIACなど)やSSCP, CISSPやOSCP, OSWEなどもありますが、一旦ここは無視して良いです。
なぜこの順かというと、セキュリティ業界ではできるならば「国際資格」を取った方が良いですし、何より国試などは受けられるのが4月と10月と限定されていること、国際資格は(費用は高いですが)柔軟に受けられることなどが理由です。
さらにインフラ未経験の方や
(1)SOCアナリスト
(2)脆弱性診断エンジニア
- ①NW(プラットフォーム)脆弱性診断エンジニア
(3)セキュリティ製品エンジニア
- ①製品特化エンジニア
- ②エージェンシー(技術商社)
などを目指す場合には、インフラ知見が必須となるためセキュリティ資格ではないですが「CCNA」を勉強するのはお勧めできます。(逆にCCNAレベルでよく、CCNPまで取る必要はありません)
同様にWebアプリケーション開発未経験で
(2)脆弱性診断エンジニア
- ②Webアプリケーション脆弱性診断エンジニア・スマートフォンアプリケーション脆弱性診断エンジニア
を目指すならば、Java SE 8 認定資格(Bronzeでも十分です)などの勉強をするのは良いと思います。
資格に関しては「資格だけでは意味がない」など様々な意見がありますが、確かに「取る」だけを目的にするのは私も反対です。
無理して高レベルの資格を目指し「暗記」主体になってしまっては元も子もないため、一歩ずつしっかりと理解し取っていくのであればどの資格であっても効果はあると思っています。
(資格のメリット・デメリットに関しては以下の記事も参考にして下さい)
https://www.liber.co.jp/noname-ccie/
ちなみに私はというとCCNAから始め、Security+、(情報セキュリティ管理士、個人情報保護士なども挟みつつ)、情報処理安全確保支援士と取っていきました。
全般(良し悪しはありますが)「全て勉強して損はない」というのが感想です。
(イ)検証
資格よりもセキュリティエンジニアとして大切なのは「検証」です。
「手を動かす」これが最も重要なことだからです。
この検証も、なんでも良いです。
Webの検証をしたいのであればOWASP WebGoatやZAPなどを使っても良いですし、自宅で仮想環境に脆弱な環境を構築して攻撃しあっても良いと思います。
Kali-Linuxなどを入れて検証しても良いと思います。
今は動画サイトを始め勉強方法が豊富に掲載されていますので、自身に合った検証方法を試してみると良いと思います。
何よりも「まず動くこと、やること」これが大切です。
(ウ)情報収集
情報収集もセキュリティエンジニアには欠かせません。
どちらかというと今回は触れなかった「セキュリティコンサル」の場合には必須となる自己研鑽ですが、セキュリティエンジニアを目指すならば日々のセキュリティニュースなどのチェックを怠ってはいけません。
こと転職時の面接においても必ず「どうやって情報収集をしているか」は聞かれるものです。
この情報収集も、どのサイトを見るかなどは人それぞれですし、自由です。
まとめサイトから始めて良いですし、Twitterも重要です(誰をフォローするかは意見が分かれる所ですが)。
できれば出所のソースを見に行った方が良いですが、目的なく見るとやる気がなくなり続かないものですので、まずは「毎日見れるもの、続くもの」を見つけることが第一歩です。
さて、ここまで大別して3つの自己研鑽方法を書きましたが、もちろんこれだけではありません。
CTFに参加してみるというのも面白いでしょうし(未経験からではハードルが高いとは思いますが)、記載したものはあくまで一例です。
重ねて言いますが「やりたいことをやれば良い」のが自己研鑽ですし、この自己研鑽を一つもやっていない場合、未経験からセキュリティエンジニアになることは100%できません。断言します。
セキュリティエンジニアは常に自己研鑽を欠かさないものだからです。
逆に、
(e)完全なるエンジニア未経験の場合
であっても、この自己研鑽を「これでもか!」というレベルで実施している場合、セキュリティエンジニアとして(本当にエンジニアの業務経験がないにも関わらず)転職していった実例も多々あります。
4. まとめ
ここまで、未経験からセキュリティエンジニアになるための方法を記載しました。
特に自己研鑽項目を読んでいて思われた方もいると思いますが「決して楽ではない」のがセキュリティエンジニアです。
逆に、業務未経験であってもチャレンジが可能なのがセキュリティエンジニアとも言えます。
セキュリティエンジニアにとってなにより大切なのは「セキュリティへの熱意」「パッション」だと私は思っています。
セキュリティが好きなら、セキュリティエンジニアにはなれます。
実務経験者が少ないからこそ、恐らくどの職種よりもなりやすい、と私は確信していますし、実際にサポートしています。
このコラムを読んでくださった方は「セキュリティが好き」な方だと思っています。
私はそんな方を一人でも多くサポートしたいと思っていますし、一人でも多くセキュリティエンジニアを増やし、業界に貢献したいとも思っています。
疑問点、知りたいことなどがあればどうぞ気軽にご連絡ください。
このコラムが皆様の一助になれば幸いです。
<ジャパ>