本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
最先端についていくのは大変ですが、その奥深さは知れば知るほど魅了されていきます。
セキュリティ診断エンジニア S.K.さん
自己紹介
セキュリティ診断エンジニアとして、Webアプリケーションやスマートフォンアプリケーションに潜むセキュリティ上の問題点をチェックする業務に従事しています。私は、大学では建築を学んでいたのですが、新卒ではコンサルティング企業に入社、その後に開発エンジニアとしてITの世界に入り、現在のMBSDに辿り着きました。診断エンジニアとしては少々異色の経歴ではありますが、これまで他業種で培ってきた経験や仕事に対する姿勢は現在の診断業務にも大いに活かされています。MBSDでは一からセキュリティについて学び直し、脆弱性診断のイロハを学ぶところからスタートしましたが、この会社にはそれを支えてくれる先輩方や環境があり、私自身着実に診断エンジニアとして成長できていることを実感しています。セキュリティは新しい技術を取り込みながら日進月歩で成長を続ける領域。その最先端についていくのは大変ですが、その奥深さは知れば知るほど魅了されていきます。
転職のきっかけ
前職では開発エンジニアとして、業務用アプリケーションの開発に携わっていました。サーバサイド・フロントエンドの開発からシステムのテストまで広範な業務を担当することができ、やりがいを感じていたのですが、一方でより特定の分野における専門性を高めたいという気持ちもありました。
そんな時に、自身が携わっていたアプリケーションの脆弱性診断をセキュリティベンダーに依頼する機会があり、そこで多くの脆弱性が検出されたことがきっかけで、セキュリティ分野に興味を持つようになりました。
それまでは漠然と「セキュリティ=必要だけど開発や業務の足かせになるもの」程度のどちらかというとネガティブなイメージしかありませんでした。ですが、セキュリティについて調べれば調べるほど、普段何気なく利用しているインターネットに潜む危険性に気づくとともに、関連する技術の奥深さや面白さにも興味を持つようになっていきました。
開発エンジニアとして業務の傍らでセキュリティのことを学ぶという選択肢も考えましたが、本気で専門性を磨くためにはセキュリティ専業の企業に転職したほうが効率良く学ぶことができ、なおかつそこで得た知識や技術で社会に広く貢献できると考え、セキュリティベンダーへの転職を決意するようになりました。
MBSDについて
MBSDのことは、転職活動でお世話になったエージェントの方から教えていただいて初めてその存在を知りました。正直なところ、面接を受けるまではMBSDがどのような企業なのかも分からず、入社するイメージも持てませんでした。
しかし、いざ面接に臨んでみると、MBSDの業務やセキュリティに関する話だけでなく、社内の雰囲気や待遇・制度に関する話までざっくばらんに話題がはずみ、終わってみればそれまで抱えていた不安も払拭され、強い魅力を感じるようになっていました。なかでもMBSDへの入社を決意した一番の決め手は、自身が望んだ業務である脆弱性診断に取り組めるということと、社内に第一線のセキュリティエンジニアが数多く在籍しており、彼らから学び、吸収できる風通しのよさがあると感じたことです。
実際、入社してからは診断エンジニアとなるための研修や、社内での勉強会も充実しており、周りのエンジニアから多くの刺激を得る中で私自身成長することができたと実感しています。
DEFCONやBlackHat等の海外のカンファレンスにも積極的に参加しており、私のようにセキュリティ分野未経験の人間でも意欲さえあれば診断エンジニアとして成長できる環境が整っているのがMBSDの魅力であると感じます。
診断エンジニアの仕事
セキュリティに関する注目度が上がりつつある昨今、脆弱性診断に対する需要は年々確実に高まっています。MBSDでも、誰しもが知っている有名なWebサイトの診断をご依頼いただく機会も増えており、時には私自身が日常生活でよく利用しているWebサイトの診断を担当することもあります。そういったWebサイトを診断し、まだ誰も見つけていない脆弱性を探り当てるというのは、脆弱性診断のひとつの醍醐味といえます。
しかし、診断は脆弱性を見つけて終わりではありません。見つけた脆弱性をお客様にご報告し、それが修正されて初めて、安全なインターネット社会の構築に貢献できたといえるのです。
そのためには、ただ脆弱性を見つけ出す能力に秀でているだけでは足りません。お客様が脆弱性を理解し、適切な対策手段を講じてもらうにはどのようにお伝えすればよいか、お客様の視点にたって客観的に考えるコミュニケーション能力も必要になります。また、脆弱性診断はおそらく皆さんが想像している以上に繊細な作業が求められる、緊張と背中合わせの仕事でもあります。お客様からのご依頼内容によっては、本番稼働しているWebサイトに対して診断を実施することも多く、診断時の操作によってそのWebサイトが動作不良に陥ってしまったり、他のユーザの操作に支障が生じ、それがそのままお客様の不利益に直結してしまう恐れもあります。
診断エンジニアは、高度な知識・技術に加え、コミュニケーション能力やそのような緊張感に耐えながら地道な作業を愚直に繰り返す忍耐力等、エンジニアとしての総合力が必要な業務であると感じています。
今後の目標
自身の専門領域を広げていくことが今後の目標です。MBSDでは入社当初からWebアプリケーション診断に携わってきましたが、2019年度からはスマートフォンアプリの診断にも取り組んでいます。同じ脆弱性診断でも、対象となる領域が変われば、一から学び直さなくてはならないことも多いので大変ではありますが、その分、新たな知識や技術が加わり自分自身の成長につながっている実感もあります。今後はさらに、ネットワーク診断やペネトレーションテスト等、他の領域の診断技術も吸収し、複数の領域にまたがって診断を実施できるオールラウンダーを目指したいと考えています。
お客様から何かを質問されたり、助けを求められたとき、それがセキュリティのどの分野のことであっても的確に答えを導き出せるような存在、困ったときに頼りになるような存在になるのが自分の思い描く理想像です。
