最近勉強会等でセキュリティの勉強をしたいのですが、どうしたらいいのでしょうかという質問を受けます。
個人的にはどうしたらいいのかの正解は不明です。(ちゃんとした正解は無いのでは?)
ただ、色々な話を聞いていて少し記事に書きたくなりましたので、今回記事にさせていただきました。
なお、内容については個人的な意見となりますので、予めご了承ください。
自分はどのようにやってきたのか
まずは私自身がどのようにやってきたのかについてですが・・・
現場で泣きながらやってきた!
です。
最初の会社は安易に開発みたいなことやりたいな~という感じで入って、現場がセキュリティだっただけです。
正直、最初の三か月位はなんでこんな仕事やらなくちゃいけないのだろうかと自問自答していました。(遷移図作成が主な仕事だったということもあり)
私がやっているセキュリティの仕事は話を聞くと華やかに感じるかもしれませんが、かなり泥臭い仕事です。
遷移図、疎通確認、対象の調整等々
また、顧客のAPI仕様書(顧客によって形式は様々)とか読んでリクエスト作ったりしなきゃいけない場合もありますしね・・・
やってて嫌になることはたくさんあります。(危険度の高い脆弱性見つけてお客さんに怒られたこともあったな~)
そういった泥臭い仕事の中で必要な知識を取り入れてきたので、正直教科書通りではありません。
たまに不勉強で聞いたことない言葉や技術があったりもしますが、今でも適宜アップデートしています。
なので、学校で習ったりはしていません。(また大学でも情報系ではありませんでした。)
セキュ塾について
最近、セキュ塾に通ってるんですがという話をちょこちょこ聞きます。
「セキュ塾通ってるんですが、セキュリティの仕事やりたいんです。」と言われても自分がセキュ塾に通った経験がないので、何とも言えません。
コース内容を確認しましたが、これがちゃんと自身の身になっていれば良いと思いますが、経験上講義形式で受けた内容はあまり身にならないのではないでしょうか。
IT未経験からセキュリティのエキスパートを、とサイトに記載していますが、ちゃんと自分でも勉強や行動をしていかないと知識になりません。
正直NWの基礎については講義を受けるんだったら、まずは以下を呼んで手を動かした方が良いと思っています。(マジで読みやすいのでオススメ)
未経験からセキュリティの仕事をやってみたい場合、どうすればいいでしょうか。
まずは現場に入ってみよう
実際に入ってみると自分が思い描いていた内容と業務の実態が異なっている場合も多々あります。
※仕事がつまんない、残業が多い等(現場によっても変わりますが・・・)
個人的には今であればSES等でまずは現場に入ってみることをお勧めします。
正直SES等ならば経験や資格はほとんどいらない。
そこから現場に行き、業務を実際に学ぶことが一番早いのではないかと思っています。
ただし、給料は安い可能性が高いので注意です!
正直、新卒や若い方向けのやり方です。
恐らくセキュ塾で学んでもすぐに華やかな現場に行くことは難しいと思います。(最悪SESに就くことになるかも)
やっぱり現場経験や他での実績が重要ですので、経験を積むことを重視した方をお勧めします。
ちなみに資格は結構重要になったりしますので、持っていて損はないです。
未経験ですと、情報処理安全確保支援士(オススメ!)やシステム監査技術者は資格取得要件に経験年数がないので狙いどころです。
逆にCISSPやCISAなどは経験年数が5年程度必要になります。(大卒だと4年)
SESで出向の形でもセキュリティや監査の現場であれば実績としてカウントできます。
最後に
最近の個人的に気になる話を記事にしました。
他人の庭は青く見えるでしょうが、実際はかなり大変な仕事です。
触ったことがないサーバやDB、CMS等を触るのは常日頃からありますし。。。
ただし、やりがいのある面白い仕事だと個人的には思っていますので、興味がある方は是非この分野に足を踏み込んでみてください。
また、やりたい仕事でも収入が合わなくて悩む場合もあるかと思いますが、まずは動いてみることをお勧めします。(条件が良くなければ転職しなきゃいいですし)
最近は私の周りでもフリーの方も増えてきていますので、そういう働き方も一つではないかと思います。(まずは相談だけでもレバテックあたりから入るのが良いかと。)
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント