セキュリティ診断エンジニア N.F.

入社したきっかけ

入社後 - 新入社員研修

私はプロフェッショナルサービス事業部という、システムの脆弱性診断を担当する部署に所属しています。プロフェッショナルサービス事業部の新入社員研修は、主に二つの期間に分類されます。

ビジネス研修(外部研修)

技術研修(社内研修)

5月の連休明けから、まずはWebアプリケーションに関わる技術を深く学習していきます。脆弱性診断に従事するにあたって、診断対象となるWebアプリケーションを取り巻く技術について学ぶことは非常に重要です。
Webアプリケーションについての講義が一通り終わると、次は定常業務についての演習です。診断対象の選定、お客様への連絡、自動診断ツールのセッティングといった一連のタスクを、演習用サイトを用いて行います。
それらが終わると、いよいよ脆弱性についての学習です。脆弱性の発生原理や精査方法など、MBSDの診断員として必要な知識を叩き込んでいきます。

技術研修で印象に残ったことは、座学だけではなく手を動かす場面が非常に多いことです。例えば、クロスサイトスクリプティングという任意のJavaScriptを実行される脆弱性の講義の中では、攻撃者の目線に立って実際にどのような悪用方法があるかを考え、やられサイト上で実装します。他にも様々な演習があり、私の体感では座学と演習が3:7くらいの比率でした。実際に手を動かしたことで、様々な技術の仕組みや細かな仕様の違いを効果的に学ぶことができたと思います。
また、技術研修の資料の充実度には驚きました。学生時代から情報セキュリティをとりまく技術について勉強してきましたが、今まで読んできたどの資料よりも内容が充実していて、改めてMBSDの技術力の高さを実感した瞬間でした。

技術研修が終わるとOJT(On the Job Training: 実践を通じたトレーニング)が始まります。診断対象の選定やお客様との連携、実診断作業を先輩社員の指導を受けながら行っていきます。このトレーニングを経て、入社から半年以上を過ぎる頃には一人のエンジニアとしての役割を担っていきます。

脆弱性診断という仕事のやりがい

今後の目標

まずは、脆弱性診断員としての能力を磨くことに注力したいと思います。日々の業務でのインプット・アウトプットはもちろん、社内勉強会や資格試験、書籍を通して様々なことを勉強していきたいと思います。MBSDでは資格取得や書籍の購入などの支援を積極的に行われているので、福利厚生制度もしっかり活用できればと思います。
MBSDはメインの業務以外にも、勉強会の講師やコンテンツ作成といった様々な業務があり、手を挙げれば若手でも担当できる環境です。様々なチャンスに対して積極的に手を挙げ、経験を積んでいきたいです。
将来的には、俯瞰的に色々な企業、様々なサービスのセキュリティ全般を見ることのできる人材になりたいと考えています。

学生へのメッセージ

MBSDの社員は勉強熱心で活動的なので、様々な外部勉強会に参加したり登壇したりする機会が数多くあります。聞いてみたいことや疑問に思っていることがあれば、ぜひそういったチャンスに声をかけていただければと思います。
その他にも、弊社はMBSD勉強会という主に脆弱性診断に関わる技術の勉強会を社外の皆様に向けて積極的に開催しています。診断サービスの業務内容を具体的に知ることができる良い機会だと思いますので、ぜひご参加いただければと思います。