1. /
  2. /
  3. セキュリティエンジニアを目指す学生へ

セキュリティエンジニアを目指す学生へ

「セキュリティエンジニアを目指しています。どうすればいいですか?」と聞かれた場合の私の回答です。

 

想定読者

将来的にセキュリティ業界で働く事を考えている学生とします。

 

筆者について

高専の情報工学科でITの基礎を学び、大学で情報セキュリティと暗号理論を触り、大学院でハードウェアセキュリティを研究するような学生生活でした。今はとある企業で脆弱性診断やペネトレーションテスト、研修講師やその他雑事に従事するセキュリティエンジニア5年目です。

 

セキュリティエンジニアとは

「セキュリティ業界」「セキュリティエンジニア」と言っても、細分化していくと無数の職に分かれます。私は脆弱性診断士やペネトレーションテスターに分類されますが、その他にもインシデントハンドラーからコンサルタントまで様々です。まずは「セキュリティエンジニア」から少し解像度を上げ、具体的に興味がある仕事を探してみましょう。

「なんとなくセキュリティエンジニアになりたい」と「(具体的な仕事)がしたい」には大きな差があります。脆弱性診断士とコンサルタントではキャリア戦略も変わってくるので、ある程度は具体化しておきましょう。なお、注意点としては必ず1つの仕事に絞るのではなく、興味の幅は気持ち広めに持つことです。それぞれの仕事の間でも関わりはありますし、「診断も興味あります」と「診断しか興味ありません」では印象が違います。

仕事を探す方法としては様々ありますが、まずは株式会社ラックが公開している『サイバーセキュリティ仕事ファイル~みんなが知らない仕事のいろいろ~』を読むことをおすすめします。また、『セキュリティエンジニアの知識地図』を読むとさらに解像度が上がるでしょう。

 

セキュリティ業界との交流

ある程度興味がある仕事が定まったらイベントに参加して広く情報を収集することをおすすめします。

学生であればセキュリティ・キャンプが規模・質ともにおすすめです。他にもCODE BLUE学生スタッフSecHack365未踏など面白いイベントはたくさんあります。CTF系で言えばSECCON Beginners CTFや各企業が主催するCTFイベントも良いでしょう。

ここでは幅広く触れてみて、自分が楽しめる業界なのか見極めることが大事です。

 

セキュリティ業界の情報収集

セキュリティの仕事に対する解像度も上がり、セキュリティの仕事がある程度楽しめると感じた場合、少し具体的に企業の情報を探してみましょう。

企業の探し方にも正解はありませんが、まずは業界地図(四季報日経)を眺めてみることをおすすめします。網羅性には乏しいですが、ざっくりどのような企業があるかを把握するには良いでしょう。また、先述したイベントのスポンサー欄を見るのも面白いかもしれません。セキュリティ・キャンプSECCONなど、興味があるイベントに出資する企業であれば思想が似ている可能性もあります。

監査・監視運用・フォレンジック・脆弱性診断等に興味があるのであれば情報セキュリティサービス台帳を見てみましょう。各社がどのようなサービスを展開しているのかリスト化されており、見比べると意外な違いに気付くかもしれません。

各企業の情報収集

興味がある企業をいくつか絞り込んだら、それぞれの企業を深堀してみましょう。提供しているサービスに関してWebサイトを見て、ある程度の興味が持てそうか自分に問うてください。採用ページも見ましょう。新卒採用のページは大事ですが、中途採用ページも見ておくとどのような人材を求め、どの領域を強化したいか透けてくるので確認しましょう。

また、企業によっては情報セキュリティ報告書を出していたり、上場企業であれば有価証券報告書等からセキュリティに対する施策(と平均年収)が分かります。転職サイトや5chの情報は眉唾ですが、それでも念のため確認しておくことをおすすめします。

インターネット上で情報収集をしつつ、企業説明会などで実際に話を聞きに行きましょう。可能であればインターンシップの参加やOB訪問などで実際に偵察へ行くことが望ましいです。

 

自己研鑽

行きたい企業が決まれば、他の学生と差別化するために可能な限り自己研鑽した方が良いでしょう。まず学業や研究を真面目に取り組むのは前提として、IT業界に行くのであれば情報処理技術者試験は決して腐らないでしょう。セキュリティが対象とするITシステムの「常識」が分かっている方が話がしやすいです。教材も豊富で、受験料も民間資格よりは比較的安価、かつ国が求める人材像が反映されているので何か情報系の資格を取るなら情報処理技術者試験をおすすめします。

加えて、セキュリティの中でも手を動かす職を目指すのであればTryHackMeHackTheBoxを触ってみるのも良いでしょう。BleepingComputerで毎日セキュリティニュースを追いかけるのも役立つかもしれません。

セキュリティエンジニアとして働く限り、知識の更新が必要不可欠です。セキュリティだけでも新しい脆弱性やインシデント事例等の新しい話題が無数に出てきて大変ですが、さらにクラウドやAIをはじめとしてITシステム自体が進化を続けており、それら全体を含めて学習を継続する必要があります。一人ですべてを担う必要はありませんが、セキュリティは総合格闘技です。備えましょう。

 

最後に

好きなことをするのが一番伸びるので、なにが一番好きなのかを探しましょう。