こんにちは、@spooonn@X(旧Twitter)です!
私は現在30代半ばで、ユーザ企業のCSIRTに所属して5年目のセキュリティエンジニアです。
本記事では、Webアプリ技術習得に向けた半年間の学習計画と、それに挑む決意を記します。
私はこれまで、以下のような上流工程のセキュリティ業務に携わってきました:
いわゆる「全体を管理する側」であり、実際に手を動かすことはほとんどありませんでした。
元々は施工管理系の業務に従事していて、インフラ運用経験ゼロでCSIRTへ異動し、
NW機器、開発、サーバ構築などに携わった経験はほとんどないという状況でした。
セキュリティのスペシャリストを目指していこうとIPA高度情報処理資格やCISSPの取得など、座学では頑張ってきたつもりですが…
「実際にコードを書いたりインフラを触った経験はゼロ」。
なので、現場担当者との会話で、技術の話についていけないことも多く、
**「自分には技術的なスキルが不足している」**という現実に薄々気づいていました。
しかしながら、なまじ実績も積み上げてきて、普段の業務は最低限回っていることに甘えていました。
そんなある日、上司からこう言われました。
「このままではspoooonn君はセキュリティエンジニアとしてのキャリアアップは厳しい」
その一言をきっかけに、ようやく重い腰を上げる決意ができました。
「“技術をしっかり理解できる上流セキュリティエンジニア”になりたい」
まずは関心が強く、業務でも関わりが深いWebセキュリティを選び、
以下のゴールを目指して半年間の学習計画を立てました。
この記事はその決意表明でもあります!
最終ゴールはこれです:
ただ動かすだけじゃなく、「脆弱性を見つけて、自分で直せる」まで行くこと!
設計・開発スキルについては、Qiitaのこの記事で紹介されている
“ジュニアレベル”のエンジニアを目指しています。
| フェーズ | 期間 | 学習内容・活動 | 使用予定ツール/教材 |
|---|---|---|---|
| Web構築基礎 | 4〜6月 | HTML/CSS、PHP or Python、Linux、Git、Web技術の基礎 | 書籍 / Udemy / 公式ドキュメント |
| ポートフォリオ作成 | 7〜8月 | Flask or Laravel を使ったWebアプリ、メール送信、自宅サーバ公開 | Flask/Laravel、Postfix、Dovecotなど |
| セキュリティ診断 | 9〜10月 | OWASP Top 10をベースに脆弱性診断 → 自分で修正 | OWASP ZAP、Burp Suite、DevTools |
| 応用・拡張 | 11月以降 | Docker、CI/CD、AWS再構築など^1^ | Docker、GitHub Actions、AWSなど |
^1^ Webアプリ開発+運用を、実務に応用するための発展編
📌 参考にしたロードマップ:
【図解】未経験から最短でWebエンジニアになるロードマップ【完全版】 – YouTube
📡 学習の進捗は@spoooonnでもゆるく発信していくので、ぜひ覗いてみてください!
私はまだまだ技術的には未熟なセキュリティエンジニアです。
でも「わからないからやらない」ではなく、「わからないからやってみる」フェーズに入りました。
この挑戦が、同じように悩んでいる誰かのきっかけになればと願っています。
そして自分自身も、“技術に強いセキュリティエンジニア”へと成長していけるよう努力していきます。
Be the first to comment
