セキュリティ診断エンジニア T.R.

前職では、主にSOCに関する業務を2年ほど行っていました。監視分析業務だけでなく、監視機器の導入支援や運用整備、学生やメンバーの教育業務など幅広く経験することができ、非常にやりがいがありました。しかし、セキュリティに興味を持ったきっかけであるCTF(Capture The Flag)のようなオフェンシブなセキュリティの業務をやってみたいと思うようになり、転職活動を始めました。

内定をいただいた企業の中でも、MBSDは特に技術力の高いことで有名な企業だと思っていたので、志望度も最も高かったです。ただ、技術力が高そうな半面、即戦力を求められ教育にはあまり力を入れていないのではないか、という勝手な印象を持っており、少し不安がありました。しかし、一人前の診断員になるための教育にとても力を入れているというお話を面接で伺え、MBSDに入社する決心がつきました。
実際に入社してからは私が想像していた何倍も充実したトレーニングをしていただき、一人前の診断員に成長することができました。MBSDの教育制度に関してはブログも書いていますので、興味のある方は一度読んでいただけると幸いです。

単純なSQLインジェクションやクロスサイトスクリプティングを見つけただけでも楽しいですし、一見対策がされているように見えて実は色々工夫することで対策をバイパスして脆弱性を検出できたときは大きな達成感を感じます。
また、脆弱性診断を行うと必然的に様々なWebアプリケーションに触れることができます。誰もが知っているような有名なWebサイトを診断する機会もありますが、そこで非常にリスクの高い脆弱性を見つけることができたときは社内外から感謝をいただけました。一方で、お客様が社内で利用するWebアプリケーションや、消費者側ではなくサービスの提供側が利用するWebアプリケーションなど、普段生活していては絶対に目にすることのないようなWebアプリケーションを診断する機会もあります。そういったWebアプリケーションは見ているだけでとても楽しいですし、初めて見るWebアプリケーションの仕様を把握して脆弱性を探すことも診断の面白いところだと感じます。

まずはWebアプリケーション診断を究めたいです。通常のWebアプリケーション診断は攻撃者と同様の視点で診断を行うブラックボックステストが主流ですが、お客様からソースコードをいただいて診断を行うグレーボックステストやホワイトボックステストまで対応できる人材になることが直近の目標です。
また、ゆくゆくはスマホアプリ診断やネットワーク診断、ペネトレーションテストなども経験し、複数の診断サービスを高いレベルで対応できるような診断のプロフェッショナルになることが現時点での夢です。