見出し画像

未経験からのセキュリティエンジニア転職ロードマップ

セキュリティ Advent Calendar 2020(Qiita)10日目のエントリーです。

こんにちは。タケシです。

先日このツイートを見つけました。

私はインフラエンジニアですが、WantedlyやLinkedIn経由でセキュリティエンジニアのスカウトがときどき届きます。

その経験から、セキュリティの実務未経験の人セキュリティエンジニアに転職するために何をすればよいかをまとめました。

ペネトレーションテスターなどセキュリティを仕事にしているエンジニアにインタビューした内容も反映しているので信頼性は高いと思います。

セキュリティエンジニアを目指すキャリアパス

1 | キャリアの入口となるポジション

セキュリティ未経験からキャリアチェンジしやすいのはペネトレーションテスター(脆弱性診断する人)とSOCオペレーター/アナリスト(セキュリティ監視を行ってインシデントの検知・特定・分析をする人)のポジションだと思います。

2 | 転職するために必要な経験

プログラマインフラエンジニア経験年数3年以上になるとセキュリティエンジニアへのキャリアチェンジが見えてくる印象。

ペネトレーションテスターだとプログラマ、SOCオペレーター/アナリストだとインフラエンジニアがそれぞれ目指しやすいイメージです。

実際、私に対するスカウトもSOCオペレーター/アナリストが中心でした。

インフラエンジニアとして運用監視や運用設計を担当し、自分が構築したオンプレミスの社内サーバに対してOSSの脆弱性診断ツール(Vulsなど)を使ってスキャンした経験がある点などが評価されたようです。

3 | セキュリティエンジニアの求人検索方法

セキュリティの実務未経験でも応募可な求人の探し方は以下のエントリーで詳しく紹介しています。

また、私の古巣であるパーソルテクノロジースタッフやパーソルプロセス&テクノロジーではセキュリティエンジニアの育成や採用(未経験でもOK)を行っています。

手前味噌ですがエンジニアにとって居心地がいい企業なのでおすすめですよ。

パーソルテクノロジースタッフの求人

パーソルプロセス&テクノロジーの求人

セキュリティエンジニアの転職ロードマップ

セキュリティの基礎知識を学ぶ

1 | セキュリティの情報源

ウェブサイト
>> piyolog
セキュリティインシデントやシステム障害についてまとめたブログ
>> CVE(Common Vulnerabilities and Exposures)
脆弱性やインシデントにCVE識別番号を割り当ててリスト化したサイト
>> JVN(Japan Vulnerability Notes)
脆弱性に関する情報や対策を公開しているポータルサイト

ポッドキャスト
>> セキュリティのアレ
SBテクノロジー 辻 伸弘さんの番組

Twitterアカウント
>> 徳丸 浩 さん
>> Sen UENO さん
>> 辻 伸弘 さん
>> piyokango さん
>> Masafumi Negishi さん
>> Shota Shinogi さん
>> とある診断員 さん
>> Isao Takaesu さん
>> YONEUCHI, Takashi さん

これらの情報源を使ってセキュリティ関連の情報収集を怠らないようにしましょう。

また、最近発見された脆弱性やシステム障害が自社のサービスやインフラにどの程度の影響やリスクを与えるのか常に自分事として考え、必要があれば上司に報告・提案する姿勢を心がけてください。

セキュリティに関する公開ドキュメント
・OWASP Japan
>> Webアプリケーション脆弱性診断ガイドライン
>> OWASP Top 10 - 2017(日本語版)
>> Webシステム/Webアプリケーションセキュリティ要件書

・IPA
>> 安全なウェブサイトの作り方
>> 情報セキュリティ対策ベンチマーク
>> 組織における内部不正防止ガイドライン(日本語版)

・経済産業省
>> サイバーセキュリティ経営ガイドライン Ver 2.0

・日本セキュリティオペレーション事業者協議会
>> セキュリティ対応組織の教科書
>> セキュリティ対応組織(SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」

・フィッシング対策協議会
>> フィッシング対策ガイドライン 2020 年度版

・デジタル・フォレンジック研究会
>> 証拠保全ガイドライン第8版

これらのドキュメントも最新版を読んでおくといいでしょう。

2 | セキュリティの入門書

専門家を目指すなら読んでおきたい本まとめ
・徳丸 浩 さん
>> 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版

・上野 宣 さん
>> Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版

・IPUSIRON さん
>> ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習

・黒林檎 さん / 村島 正浩 さん
>> ハッカーの技術書

・キム ペーター さん
>> サイバーセキュリティテスト完全ガイド
>> サイバーセキュリティ レッドチーム実践ガイド

・折原 慎吾 さん 他
>> セキュリティのためのログ分析入門

ガチのセキュリティ初心者にとって、これらは入門書と思えないほど内容が難しく感じるかもしれません。

しかし、セキュリティを仕事にしたいなら、これらの書籍は一通り読んでおきましょう。

徳丸さんの本も読んでないのにセキュリティエンジニアになりたいと言うのは、セキュリティ業界の人たちからすると「呆れてものも言えない」「聞いているこっちが恥ずかしい」レベルです。

3 | セキュリティ初心者向けの勉強会

勉強会(ハンズオン)
脆弱性診断研究会 (OWASP ZAPで脆弱性診断)
MBSDセキュリティ勉強会 (Burp Suiteで脆弱性診断)

カンファレンス
・AVTOKYO
・CODE BLUE

OSSコミュニティのイベント
・OWASP Night
・Burp Suite Japan LT Carnival
・Vuls祭り

セキュリティのトレンドを学んだり、脆弱性診断などのスキルを身につけたりするのに勉強会参加は効果的です。

セキュリティ業界内での人脈形成もできるので積極的に参加しましょう。

これ以外の勉強会(オンラインのものも含む)は connpass / Doorkeeper / TECH PLAY などのサイトで探すことができますよ。

4 | 大学院進学

神奈川県横浜市にある情報セキュリティ大学院大学。

私事ですが、当時の勤務先を辞めてここに入学することを一時期本気で検討しました。

WEBオープンキャンパスも開催されているので、興味があれば参加してみてはいかがでしょうか。

セキュリティの資格取得

駆け出し時代に取得したい資格
・compTIA Security+
・情報セキュリティマネジメント試験

転職活動前にできれば取得したい資格
・情報処理安全確保支援士試験
認定脆弱性診断士

セキュリティ専門家を目指すなら取得したい資格
・CISSP
・認定ホワイトハッカー(CEH)

compTIA Security+や情報セキュリティマネジメント試験は新卒が入社1年目に取得を目指すレベルの資格なので、将来セキュリティに関わりたいなら合格しておきたい資格です。

情報処理安全確保支援士として登録するか否かは各々の自由ですが、合格したあとで登録しなくても合格が無効になることはない(※)様子なので、転職時にアピールするためにも合格はしておきたいところ。

(※)ソースはこちらのサイト
>> 【情報処理安全確保支援士】合格した後に資格登録しないで様子を見ることにした

セキュリティのスキルアップ

1 | 大会に出場する

SECCONHardening Projectなどのセキュリティに関するスキルを競う大会に出場することで実力を高めましょう。

大手SIerや通信キャリアなどの社員がチームを組んで参加することもあるので、セキュリティ業界内での横のつながりを作ることも可能です。

SECCON

Hardening Project

2 | Udemyの講義を受ける

Udemyではセキュリティについてハンズオン形式で学べる講座が多数公開されています。

講座内容やレビューを確認し、興味がわくテーマがあれば受講してみてはいかがでしょうか。

定期的にセールを実施しているので、そのタイミングで購入するのがおすすめです。

※以下の講座は一例です。

デジタルフォレンジック

サイバー攻撃

ホワイトハッカー養成講座

3 | 実機で独学する

自宅でできる独学の一例
・Vuls(脆弱性検知ツール)でローカルのサーバをスキャンする
・ローカルのOWASP BWAに対してOWASP ZAPで脆弱性診断を行う
・Open Source Tripwireをサーバに入れて改ざん検知を試す

自宅にあるサーバやパソコンにインストールしたツールを用いて実機で脆弱性診断などを試すのもいいでしょう。

手順は有志がブログやQiitaなどで公開しています。

ちなみに、脆弱性診断などの練習はローカル環境(自宅の閉じたネットワーク内)で自分が管理しているサーバに対してのみ行うようにしてください。

インターネット上で公開されている第三者が管理するサイトに対して行うと不正アクセスと見なされる恐れがあります。

求人応募・面接対策

前述の方法で求人を探し、面接対策をしっかり行なって転職活動を開始しましょう。

転職エージェントに登録すると模擬面接履歴書・職務経歴書の添削もサービスで行ってもらえるのでうまく活用してください。

Wantedlyでスカウトを続々もらうためのプロフィール(LinkedInにも応用可能)については以下のエントリーで解説しています。

まとめ

これらは「セキュリティエンジニアになりたいという人ならやってて当然だよね」という内容であり、選考に進む上で満たしておくべき最低条件に過ぎません。

これさえやれば確実に転職できると保証するものではないのでご注意ください。

「セキュリティの仕事がやりたいです!」と口で言うだけの人間は説得力がありませんし必要な知識・スキルがあるかを判断する手掛かりが一切ないので、書類選考段階で落とされます。

どのような人材が求められているのかを自分の足を使って集め、求人に応募し、適切な対策を行って面接に臨めば自ずと道が開けるでしょう。

追記:セキュリティ業界内で尊敬できる人を見つけましょう。

私が尊敬してやまないのはサイバーセキュリティの第一人者である名和 利男さんとCODE BLUE発起人の篠田 佳奈さんです。

ここまでお読みいただきありがとうございます!

また、貴重なお時間をいただき
ありがとうございました。

スキ・コメント・フォローなどを
いただけますと最高に喜びます。

※フォローいただければ100%お返しします。

今後も有益な情報発信を続けていきますので
応援よろしくお願いします!

プロフィールとおすすめ記事まとめ

仕事依頼(エンジニア転職サポートします)

⏬マガジン


この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
たけし@エンジニア転職支援 | フォロバ100

最後までご覧いただきありがとうございます。 もし気に入っていただけましたら「スキ」&「フォロー」&「Twitterへの感想投稿」もよろしくお願いします。 サポートは活動費用として使わせていただきます! twitter:https://twitter.com/se_tenshoku

嬉しいです!ぜひ感想をツイッターに投稿してください!
64
「未経験の壁」を乗り越えてエンジニアに転職する方法がわかる(有料記事購入者200人越え)▶︎読者が内定獲得 / 30代エンジニア(インフラ) / プログラミング学習・求人の探し方・面接対策・IT資格勉強法などを発信 / 詳細▶︎プロフィール記事