セキュリティの仕事って、高度な技術力が必要なんでしょ
・・・と思われている人は多いと思う。実はそうでもない。
現に、元々は営業推進をしていた私でも、とある事業会社のセキュリティ部門で働き続けている。
「非エンジニアの人が、どうやってセキュリティの仕事を続けられてるの」と興味を持ってくれたニッチな人向けに自身のキャリアの変遷などをまとめてみた。
※必ずしも技術力いらん!続けられるぞ!と主張するものではなく、一例として捉えてください
ここらへんの文書を見ると、「セキュリティ」って色々な業務があるんだな
となると思う。
セキュリティの仕事=上の図の「実務者・技術者層」の業務イメージを持つ人が多いように思うが、ご覧のとおりそれ以外にもある。
私が携わっているセキュリティのお仕事は、IPAのだと 「セキュリティ統括」「セキュリティ監査」、NCAのだと「セルフアセスメント担当」「セキュリティ戦略担当」「教育・啓発担当」あたりに該当する。
読んでもらうと、確かに技術要素少ないな
となるかと思う。
キャリア迷走時代
元々は、JTCで営業推進と呼ばれる仕事(主にパワポ職人&社内調整)を数年間ほどしていた。
仕事に飽きてきて、興味本位で転職サイトに登録したところ、提示される求人が年収の低いものばかり
であった。
「自分のスキルは市場で無価値」「この会社に居続けたら、ゆでガエルになるのでは」という危機感を30歳頃に抱き始める(遅すぎて草)
転機の訪れ
そんな中、社内のセキュリティ部門が人材募集をしていた。
「セキュリティって何だかカッコいい。市場価値高められそう
」
ほぼそれだけの理由で勢いのまま応募。異動に成功した。なお、ITパスポートすら持っていなかった。
セキュリティ国
異動直後に「エディタはvim、Emacs、どっち派」と上司に問われ固まった。
専門用語が飛び交い、ここは異国なのか
と思うほど、周囲が何を話しているのかさっぱりわからない。ぶっちゃけ異動を後悔した。
コミュ力&資格取得でふんばる
わからないことを先輩・上司に聞きまくり、色々と教わった。
即戦力になれず落ち込む日々を過ごす中で、資格を取ることで、もう少しセキュリティ頑張るか、という気持ちになれた。
セキュリティ界隈は、資格を持っていると何かと有利だ。
知識ゼロからセキュリティを学ぶ上で、体系的かつ効率的に学ぶことができる。
そして、同じ資格を持っていると仲間意識が生まれ、信頼度アップにつながる(気がする)
事業会社のセキュリティ部門においては、CISSP、情報処理安全確保支援士を持っている人が多いと思う。
いきなり上位資格取得は無理ゲーだったため、次の順でのんびり取得していった。
この次に支援士、CISSPの流れで取得した。
ハッキングスキルを持つレッドチームな人たちは、以下のPaul Jerimy氏公開のセキュリティ資格ロードマップの赤い部分の資格(有名どころだとOSCP)を持っている気がする。
キャリアチェンジして5年間くらいは「この仕事向いてないな、つらい」という感じだった。
ただ、続けていくうちに、社外でも転用できるスキル&自信が少しずつ身に付き(1回転職)、専門用語を翻訳する人材も必要、コミュ力やパワポ職人スキルも活きるという気づきもあり、今の状態は悪くない、と感じている。
守るべき情報は何ですかどこで、誰が、どのシステムで、業務でどう扱っていますかと現場の人たちとコミュニケーションを取りながら、社内外の動向を踏まえつつ、こういうところにリスクがありそうだな~と評価して、ルールを作ったり、技術的な対策したり、教育したり・・・というのはそこまで苦に感じず、感謝されると楽しい瞬間もある。
セキュリティの仕事をする上で、攻撃者視点や技術力は重要
と思い、CTF等を試したが挫折した。
CTFで優勝した、CVE取得した、バグバウンティで報奨金もらった、みたいな人が周囲にいるが、趣味のように楽しんでやっている。餅は餅屋に任せようとなったのであった。
とはいえ、日々、インシデントや脅威情報などのセキュリティ動向は収集して、自分なりに取り残されない努力をしている(つもり)。
チャレンジした本・CTF・資格
非エンジニアでも、セキュリティの仕事を続けられている人間もいるのだな、ちょっとセキュリティに興味持ったかも、と少しでも何かの気づきや参考になれば幸いです。
最後まで読んでいただき、ありがとうございました。
Views: 0
