※本サイトで紹介している商品・サービス等の外部リンクには、プロモーションが含まれています。
※株式会社マイナビのプロモーションを含みます
プログラマーやインフラエンジニアなどIT業界で人気のある職種の中で、今セキュリティエンジニアが注目を集めています。
しかし、”セキュリティ”という単語をみて「なんだか難しそう…」と感じてなかなか転職に踏み切れない人も少なくありません。
今回はセキュリティ業界未経験からの転職でお勧めできる「脆弱性診断士」について紹介をしてみたいと思います。
これを機に、セキュリティ業界について少しでも興味を持ってもらえたら幸いです。
セキュリティ業界で今までの経験を生かした転職をしたいと考えている方は、こちらの記事も参考にしてみてください。
脆弱性診断士って何?
簡単にいうと、企業が公開しているサーバ、Webアプリケーション、ソフトウェア等における脆弱性を調査し報告する仕事をする人たちのことです。
そもそも脆弱性とは、ソフトウェア等の製品に内在する安全上の問題を指します。セキュリティホールとも呼ばれています。
内在する問題とは、主にプログラムにおけるバグや設定不備などがあります。
一般の人がバグや設定不備と聞くと単なるミスなだけに思えるかもしれません。
しかし、実はこうしたところから脆弱性が発見され、悪意を持ったユーザに不正アクセスや情報漏洩など悪用されるケースに繋がる危険性があります。
現在、安全なウェブサイトの作り方などのIPAからの発信や、セキュリティの専門家がセキュリティに重点をおいた解説書を出版するなど、セキュリティを意識して作るような流れが広がってきています。
しかし、開発者側全員がこういった資料を読み込み、セキュリティを意識して開発することは難しく、ある程度知識をつけた上で開発していたとしても、開発者だけでは脆弱性のチェックにも限界があります。
そこで脆弱性の調査をすることに特化したエンジニアが、サーバやアプリケーションにアクセスし、脆弱性があるか調査を行います。
これが脆弱性診断士のメイン業務となります。
開発者から見るとテスターと同じ部類に入るように見えるかもしれません。
実際、大きなくくりでみたらテスターのような立ち位置になるのかもしれませんが、テスターの中でも特殊な部類に入ることは間違いないです。
同じような特殊な部類に入るテスターとしては、性能評価などがあります。
脆弱性診断とは具体的に何をするの?
専門のツールを使って調査を進めていきます。
ただ、1つのツールにすべて任せて終わり、ということはなく調査する脆弱性の種類によって使い分けたりします。
また、開発やインフラ構築と同じように期間や成果物の納期が決まっています。
診断の場合は、その期間と納期が開発等に比べ短いことが多いです。
中には短い期間の中で終わらせるものだけではなく、逆に期間を長く取って行うものもあります。
期間の長さは対象によったり、診断の種類によっても変わることがあります。
では、脆弱性診断の種類とは、どのようなものがあるのかについて紹介していきます。
脆弱性診断の種類
脆弱性診断の対象となるのは、WebアプリケーションやAPI、IoT、スマートフォン向けアプリなど様々です。
その時々の最新の製品を多くのIT企業が取り入れることに合わせて、診断の種類も増えてきています。
有名なセキュリティベンダーのサイトを参考に、現時点で確認できる脆弱性診断の種類を列挙してみます。
- Webアプリケーション診断
- プラットフォーム(ネットワーク)診断
- スマートフォンアプリケーション診断
- APIセキュリティ診断
- クラウドセキュリティ診断
- 無線LANセキュリティ診断
- IoTセキュリティ診断
この他にもセキュリティの観点に重きを置いたコードレビューや、設計レビューに特化したサービスなどもあります。
脆弱性診断と一口でいっても様々な種類があるので、どのような脆弱性診断に興味がるか、その分野における基礎知識があるのか、などを一度整理しておくと良いと思います。
一般的に使われる脆弱性診断が指しているものは、「Webアプリケーション診断」か「プラットフォーム診断」が多いです。
脆弱性診断を初心者から始めることは可能か?
脆弱性を調査する、と聞くとだいぶ難易度が高く感じるのではないでしょうか。
脆弱性診断の種類や会社にもよるかと思いますが、ある程度はツール側で補助してくれたり、手動での調査が必要な場合もある程度手順化されていたりと、全てを個人の能力に依存して診断作業を行うというわけではありません。
未経験者を募集しているところであれば、メンターとやりとりをしていきながら徐々に診断に慣れていくことができ、最初から診断に関する知識・技術が必要なわけではないので、心配しすぎる必要はないです。
また、脆弱性診断士の仕事は脆弱性診断だけではありません。
例えば、お客さんによっては脆弱性診断の対象となる箇所がよくわからないといった相談を受ける場合があります。
そのような場合は、事前に対象サイトにアクセスするなどして画面を洗い出す作業が必要となります。
脆弱性診断というと一人で黙々と作業をするイメージを持たれるかもしれませんが、意外とお客さんとやりとりする機会が多いです。
特に不測の自体(診断中にサーバが止まるなど)が発生した場合は、密に連携を取る必要があります。
脆弱性診断士のメリット・デメリット
脆弱性診断士は今注目を集めている人材の一つではありますが、メリットとデメリットがあります。
脆弱性診断士への転職を考えている方は、これらのことをしっかり把握した上で判断することをおすすめします。
メリット
脆弱性診断士になることで得られるメリットは次のとおりです。
- 脆弱性調査メインで仕事ができる
- 様々なシステムの脆弱性調査を行うことができる
- 様々な脆弱性における知見が深まる
脆弱性調査をメインで仕事ができるという点は、脆弱性診断士である以上当たり前とはいえば当たり前なのですが非常に重要です。
脆弱性診断士ではないが、脆弱性診断チックなことをするという場面は脆弱性診断士以外でもあったりします。
たとえば、開発者がテストフェーズ時に他のテストと平行しながら軽く脆弱性調査をしてみるなどです。
ただ、本業と兼用することになるため脆弱性調査をメインにたっぷり時間をとって行うことは中々難しいと思います。
また、ツールの使い方についても不慣れなことが多く、ツール開発元のベンダーにレクチャーしてもらいながら試したりするなど、十分テストできているのかやや不安になることが多いと思います。
その点、脆弱性診断士になれば、仕事柄様々なシステムの脆弱性を調査することが多くなり、知見がたまりやすい点や、同じ部署の経験者に意見を求めることができるなど、脆弱性診断を正しくできている実感が持てますので、脆弱性診断に興味があれば転職してみるのはおすすめできます。
先ほど様々なシステムの脆弱性を調査することが多くなるとお話ししましたが、脆弱性診断そのものはサーバを攻撃していることに等しく、こうした仕事でなければ他社のシステムに脆弱性診断をするという行為自体ができません。
そのため、ある意味合法的に(?)様々なシステムの脆弱性を診断することができるため、脆弱性における知見やノウハウなどもどんどん蓄積していくことができます。
これらは、他の職業ではまず経験ができない貴重な体験です。
プログラミングやサーバ構築は独学でもある程度スキルレベルをあげることができますが、脆弱性診断は書籍も少なく独学でスキルレベルをあげることも(できなくはないですが)難しいので、一度入って経験してみるのはおすすめできると思います。
デメリット
逆に脆弱性診断士におけるデメリットを紹介します。
- 仕事内容はほぼ一人で完結することが多いためやや孤独感がある
- 出張や夜間・休日作業がある
- ニッチな世界のため、この経験だけだと転職の幅が狭まっていく
- 仕事内容によっては将来的に自動化される可能性がある
脆弱性診断は一人で担当する場合が多く、ある程度は自己解決できる力を必要となるため、個人の力だけでカバーする能力が必要になります。
もちろん未経験から入る場合は、OJTのような形で仕事について様々なレクチャーをしてくれるトレーナーもいると思いますが、ある程度技術レベルが達した段階で基本一人で対応することになります。
また、脆弱性診断の対象によっては出張や夜間・休日での作業が必要になる場合があります。
リリース前のアプリケーションやシステムを外部に公開できない対象については、現地に足を運び脆弱性診断を行う必要があります。
中には実際に公開されているシステムが対象となる場合もあり、日中のアクセスが集中している時間帯は避けてほしいという要望があったりします。
出張や夜間・休日対応の期間については、システムの規模にもよりますが数日程度で終わるものから1ヶ月ほどかかるものもあります。
時間や場所に縛られたくないという人には少し難しいかもしれません。
また、脆弱性診断サービスの一部(主にWebアプリケーション診断、プラットフォーム診断)は、現在いくつかの企業でAIによる自動化を進めており精度も上がってきています。
すでに一部の脆弱性診断サービスを自動化しているところもあるため、この流れは今後も加速していく可能性があります。
個人的に一番気にしている点は、脆弱性診断の業務範囲自体は狭いので、最初からこの業務だけをメインに経験を積んでしまうと、別の職種への転職時に思ったよりも評価されない可能性があるという点です。
開発なら開発経験、インフラ系なら構築・運用経験など、採用側が期待している技術・経験をアピールしにくく、脆弱性診断士として長く働けば働くほど、他の職種への転職が不利になる可能性があります。
実際、脆弱性診断だけだとなかなかアピールしにくいんですよね…。
先にWeb開発かインフラ構築の経験を積んでから脆弱性診断士を目指した方が、基礎知識もつけられ脆弱性診断士が合わなかったとしても、比較的容易に転職することができるので、リスク分散の観点からおすすめできるキャリアプランです。
また、Web開発やインフラ構築経験がある方が、脆弱性診断を採用する側の視点として評価できるポイントにもなるので一石二鳥です。
なんだかデメリットの方がボリュームが大きくなってしまいましたが、それを差し引いても他の職種では得られない経験ができるのが魅力です。脆弱性診断の仕事をしている人を見ても、仕事そのものを楽しんで取り組んでいる人が多い印象です。
どんな人にお勧め?
どんな人に脆弱性診断士が向いているか、私個人の勝手な主観となりますがまとめてみました。
- 同じようなことや地味な作業をコツコツ続けられる人
- 期限や納期内に仕事することに対してストレスを感じない人
- 出張や夜間・休日での作業があっても苦にならない人
- 自己研鑽に取り組める人
- 脆弱性診断が好きな人
脆弱性診断自体は非常に地味な作業です。
期間内に与えられた作業量を淡々と片付けていき、報告書をまとめ、必要であればお客さんに一つ一つ説明したりもします。
出張や夜間・休日での対応が苦にならないという点も重要です。この仕事をする上ではなかなか避けて通ることは難しいためです。
脆弱性は常に新しい手法などが発見され、セキュリティ情報発信サイト(日本だとJPCERT/CCなど)によって日々発信されています。
脆弱性診断もそうした情報から新しい診断手法などを取り入れるなど、時代に合わせて形を変えていく必要があります。
そういった情報についていくためにも、日々勉強をしていくことが大切になってきます。
何よりも一番大事なことは脆弱性診断の仕事そのものが好きかどうかです。
好きかどうかやってみないとわからないという人は、疑似体験のようなものができるイベントやアプリがあるので、まずはそこから試してみるといいと思います。
疑似体験的なものでいえば、CTFのWEB問(SECCON CTFや最近だとLINE CTFなど)がおすすめ。
クローズドな環境で自分の好きなタイミングで学びたい人は、脆弱性が盛り込まれたイメージ(やられサーバ、やられアプリなどと呼ばれる。OWASP BWAが有名)を使うのがおすすめ。
- マイナビ IT AGENT
IT業界を経験してる人ならこちらがおすすめ!経験を生かしてセキュリティエンジニアへの転職を狙えます。 - レバテックキャリア セキュリティエンジニアの転職といえばこちら!転職エージェントの中でもセキュリティエンジニアの転職実績が豊富で的確なアドバイスがもらえます。
IT業界を経験してる人ならこちらがおすすめ!経験を生かしてセキュリティエンジニアへの転職を狙えます。まとめ
今注目を集めているセキュリティエンジニアの業務内容の一つである脆弱性診断士について紹介してみました。
少し特殊な仕事なので、あまり認知されていなかったり、知っていても具体的にどういうことをやっているかといった話も情報が少ないかと思います。
また、転職エージェントの担当者も深く知っている人が少ない印象がある(少なくとも今まで利用した中では詳しく知っている人は少数だった)ので、これから転職を考えている人や詳しく知っておきたい人などに参考になれれば幸いです。
メリットの部分でも伝えましたが、色々な会社のシステムに対して脆弱性を調査するといったことは、なかなかできない貴重な体験になるので、興味があればぜひ一度経験してみてください。
コメント