あなたはセキュリティに興味がありますか。
私はインフラエンジニアですが、WantedlyやLinkedIn経由でセキュリティエンジニアのスカウトがときどき届きます。
その経験から、本記事ではセキュリティの実務未経験から目指せるセキュリティエンジニアのポジションや求人、セキュリティエンジニアに転職するために何を学びどんな転職活動をすればよいかをまとめました。
ペネトレーションテスターなどセキュリティを仕事にしているエンジニアにインタビューした内容も反映しているので信頼性は高いでしょう。
また、私の古巣であるテンプスタッフ・テクノロジー株式会社(現:パーソルクロステクノロジー株式会社)の先輩や同僚がセキュリティベンダーなどに転職していったので、そのときの実例も盛り込んでいます。
未経験からセキュリティエンジニアを目指すキャリアパス
セキュリティエンジニアのキャリアの入口となるポジション
セキュリティ未経験からキャリアチェンジしやすいのはペネトレーションテスター(脆弱性診断する人)とSOCオペレーター/アナリスト(セキュリティ監視を行ってインシデントの検知・特定・分析をする人)のポジションだと思います。
セキュリティエンジニア転職に必要な経験
プログラマやインフラエンジニアが経験年数3年以上になるとセキュリティエンジニアへのキャリアチェンジが見えてくる印象。
ペネトレーションテスターだとプログラマ、SOCオペレーター/アナリストだとインフラエンジニアがそれぞれ目指しやすいイメージです。
実際、インフラエンジニアの私に対するスカウトもSOCオペレーター/アナリストが中心でした。
インフラエンジニアとして運用監視や運用設計を担当し、自分が構築したオンプレミスの社内サーバに対してOSSの脆弱性診断ツール(NessusやVulsなど)を使ってスキャンした経験がある点などが評価されたようです。
セキュリティエンジニアの求人検索方法
パーソルクロステクノロジー株式会社やパーソルプロセス&テクノロジー株式会社では、dodaにて未経験歓迎でセキュリティに興味があれば応募できるセキュリティエンジニアの求人を掲載しています。
他の転職サイトでもセキュリティエンジニアの求人は探せますが、未経験歓迎の求人はdodaやGreenが見つけやすいので実際に検索してみてどんな企業が募集しているのかチェックしてください。
ちなみに、パーソルクロステクノロジー株式会社の前身であるテンプスタッフ・テクノロジー株式会社は私の古巣なのですが、エンジニアにとって居心地がいい企業なのでおすすめですよ。
他にはKDDIデジタルセキュリティ(KDDIとラックの合弁企業)や株式会社ウェブレッジ(デロイトトーマツグループ)、株式会社ベリサーブ(SCSKグループ)、CTCシステムマネジメントシステム株式会社など大手グループ企業でもセキュリティ実務未経験OKのポジションをdodaで募集しています。
セキュリティエンジニアの転職ロードマップ
セキュリティの基礎知識を学ぶ
セキュリティの情報源
ウェブサイト
・piyolog
セキュリティインシデントやシステム障害についてまとめたブログ
・CVE(Common Vulnerabilities and Exposures)
脆弱性やインシデントにCVE識別番号を割り当ててリスト化したサイト
・JVN(Japan Vulnerability Notes)
脆弱性に関する情報や対策を公開しているポータルサイト
ポッドキャスト
・セキュリティのアレ
SBテクノロジー 辻 伸弘さんの番組
X(Twitter)アカウント
・徳丸 浩 さん
・Sen UENO さん
・辻 伸弘 さん
・piyokango さん
・Masafumi Negishi さん
・Shota Shinogi さん
・とある診断員 さん
・Isao Takaesu さん
・YONEUCHI, Takashi さん
これらの情報源を使ってセキュリティ関連の情報収集を怠らないようにしましょう。
また、最近発見された脆弱性やシステム障害が自社のサービスやインフラにどの程度の影響やリスクを与えるのか常に自分事として考え、必要があれば上司に報告・提案する姿勢を心がけてください。
セキュリティのドキュメント
OWASP Japan
・Webアプリケーション脆弱性診断ガイドライン
・OWASP Top 10 - 2021
・Webシステム/Webアプリケーションセキュリティ要件書
IPA
・安全なウェブサイトの作り方
・情報セキュリティ対策ベンチマーク
・組織における内部不正防止ガイドライン(日本語版)
経済産業省
・サイバーセキュリティ経営ガイドライン Ver 2.0
日本セキュリティオペレーション事業者協議会
・セキュリティ対応組織の教科書
・セキュリティ対応組織(SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」
フィッシング対策協議会
・フィッシング対策ガイドライン 2020 年度版
デジタル・フォレンジック研究会
・証拠保全ガイドライン第8版
これらのドキュメントも最新版を読んでおくといいでしょう。
専門家を目指すなら読んでおきたいセキュリティ入門書
徳丸 浩 さんのセキュリティ入門本
上野 宣 さんのセキュリティ入門本
IPUSIRON さんのセキュリティ入門本
黒林檎 さんのセキュリティ入門本
キム ペーター さんのセキュリティ入門本
折原 慎吾 さん などのセキュリティ入門本
ペネトレーションテストを体験できるセキュリティ入門本
マルウェアについてこれ1冊で学べるセキュリティ入門本
ガチのセキュリティ初心者にとって、これらは入門書と思えないほど内容が難しく感じるかもしれません。
しかし、セキュリティを仕事にしたいなら、これらの書籍は一通り読んでおきましょう。
徳丸さんの本も読んでないのにセキュリティエンジニアになりたいと言うのは、セキュリティ業界の人たちからすると「呆れてものも言えない」「聞いているこっちが恥ずかしい」レベルです。
セキュリティ初心者向けの勉強会
勉強会(ハンズオン)
脆弱性診断研究会 (OWASP ZAPで脆弱性診断)
MBSDセキュリティ勉強会 (Burp Suiteで脆弱性診断)
OSSコミュニティのイベント
OWASP Night
Burp Suite Japan LT Carnival
Vuls祭り
セキュリティのトレンドを学んだり、脆弱性診断などのスキルを身につけたりするのに勉強会参加は効果的です。
セキュリティ業界内での人脈形成もできるので積極的に参加しましょう。
これ以外の勉強会(オンラインのものも含む)は connpass / Doorkeeper / TECH PLAY などのサイトで探すことができますよ。
セキュリティの大学院進学
神奈川県横浜市にある情報セキュリティ大学院大学。
私事ですが、当時の勤務先を辞めてここに入学することを一時期本気で検討しました。
WEBオープンキャンパスも開催されているので、興味があれば参加してみてはいかがでしょうか。
セキュリティの資格取得
駆け出し時代に取得したい資格
compTIA Security+
情報セキュリティマネジメント試験
転職活動前にできれば取得したい資格
情報処理安全確保支援士試験
認定脆弱性診断士
セキュリティ専門家を目指すなら取得したい資格
CISSP
認定ホワイトハッカー(CEH)
compTIA Security+や情報セキュリティマネジメント試験は新卒が入社1年目に取得を目指すレベルの資格なので、将来セキュリティに関わりたいなら合格しておきたい資格です。
情報処理安全確保支援士として登録するか否かは各々の自由ですが、合格したあとで登録しなくても合格が無効になることはない様子なので、転職時にアピールするためにも合格はしておきたいところ。
セキュリティのスキルアップ
セキュリティ競技の大会に出場する
SECCON CTFやHardening Projectなどのセキュリティに関するスキルを競う大会に出場することで実力を高めましょう。
大手SIerや通信キャリアなどの社員がチームを組んで参加することもあるので、セキュリティ業界内での横のつながりを作ることも可能です。
Udemyのセキュリティ講座を受講する
Udemyではセキュリティについてハンズオン形式で学べる講座が多数公開されています。
講座内容やレビューを確認し、興味がわくテーマがあれば受講してみてはいかがでしょうか。
定期的にセールを実施しているので、そのタイミングで購入するのがおすすめです。
脆弱性診断ツールなどを実機で独学する
自宅でできる独学の一例
Vuls(脆弱性検知ツール)でローカルのサーバをスキャンする
ローカルのOWASP BWAに対してOWASP ZAPで脆弱性診断を行う
Open Source Tripwireをサーバに入れて改ざん検知を試す
自宅にあるサーバやパソコンにインストールしたツールを用いて実機で脆弱性診断などを試すのもいいでしょう。
手順は有志がブログやQiitaなどで公開しています。
セキュリティ初心者で何から準備すればいいのかわからない場合、Web脆弱性診断ツール「OWASP ZAP」をテーマにした脆弱性診断研究会やローカルプロキシツール「Burp Suite」を使うMBSDセキュリティ勉強会などの勉強会に参加するのもおすすめ。
ちなみに、脆弱性診断などの練習はローカル環境(自宅の閉じたネットワーク内)で自分が管理しているサーバに対してのみ行うようにしてください。
インターネット上で公開されている第三者が管理するサイトに対して行うと不正アクセスと見なされる恐れがあります。