若手セキュリティエンジニアのインタビュー記事1「morioka12」
始めに
本稿は、新卒1~3年目の若手セキュリティエンジニアを対象に、セキュリティの職に興味ある学生や若手向けのインタビュー記事です。
第1弾は、「セキュリティ若手の会」の創設メンバーであり、セキュリティベンダー企業で働く新卒1年目の「morioka12(@scgajge12)」さんです。
「セキュリティ若手の会」とは
「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
「若手セキュリティエンジニアのインタビュー記事」は、「セキュリティ若手の会」が実施するプロジェクトの一つです。
インタビュー「morioka12」
0. 自己紹介
- セキュリティベンダー企業で働く24卒のセキュリティエンジニア(新卒1年目)
- 専門分野:Web Security, Cloud Security, Bug Hunting
- X:https://x.com/scgajge12
- Portfolio:https://scgajge12.github.io/
- Blog:https://scgajge12.hatenablog.com/
- 修了:SecHack365(2018), セキュリティキャンプ全国大会(2020)
- セキュリティ若手の会:創設メンバー, 幹事メンバー(第1期)
1. 現在はどういう業務に取り組まれていますか?
私は、セキュリティベンダー企業で「Webペネトレーションテスト(WebPT)」という業務をメインに取り組んでいます。
WebPTは、主にWebアプリケーションやWebシステムに対して、実際に危険度の高い脅威となる脆弱性に注力して、シナリオとゴールを設定した上で実際の攻撃者視点による脆弱性調査と対象のリスク評価などを行います。
また、基本的にソースコードを提供していただき、ホワイトボックスな状態で効率良く案件期間内にソースコード解析して手動的に脆弱性調査します。
ベンダーという立場のため、様々な企業のプロダクトに対してWebPTできる点は、とてもやりがいと高い経験値の獲得を感じています。
毎月のように、色々な形態のプロダクトやプログラムに、第三者視点によるセキュリティ観点で触れることができ、セキュリティ分野における「脆弱性調査」にフォーカスして日々取り組んでいます。
その他にも、1年目は社外向けイベントの企画運営や学生向けインターンシップのメンターなどにも携わりました。
2. 学生時代はどういうことに取り組まれていましたか?
学生時代は、主に「Web Security」や「Cloud Security」に関する学習などをメインに取り組んでいました。
プログラミングは、高校1年生(普通科)の頃から独学で勉強し始めて、競技プログラミングやWeb開発、ログ分析などに取り組んだ後、セキュリティ分野に興味を持ってメインに取り組むようになりました。
Web Securityに関しては、バグバウンティに取り組んだり、CVE IDを取得したり、脆弱性に関する調査や検証などをしていました。
Cloud Securityに関しては、特にオフェンシブ寄りな視点でAWS環境やAWSサービスに対しての学習や検証などをしていました。
その他にも、たまにWeb開発やCLIのツール開発などもしていて、好きなプログラミング言語はGoです。
セキュリティ分野の勉強に取り組み始めたころは、CTFやHack The Boxなどのコンテンツにも少し触れてましたが、どちらかというとリアルワールドに潜む脆弱性を探す「バグバウンティ」の方が好みで、リアル寄りなバグハンティングの方をよく取り組んでいました。
バグバウンティに関しての取り組みについては、以下のインタビュー記事をご覧ください。
長期インターンやアルバイトでは、WebやCloudの脆弱性診断、新サービスの立ち上げ、技術ブログの執筆などにも業務で取り組んでいました。
課外活動では、「SecHack365」や「セキュリティ・キャンプ全国大会」を修了したり、「セキュリティ・ミニキャンプ オンライン 2022」の講師を担当したり、他にもいくつかのイベントで登壇や講師を経験させていただきました。
また、「AWS Community Builders」のセキュリティ部門にも選出されたりしました。
ちなみに、学校生活では情報技術サークルである「IPFactory」にも所属していて、3年次には部長も務めていました。
3,4年次に関しては、振り返りブログを公開しているため、詳細はそちらをご覧ください。
3. 新卒の就活はどういう感じに取り組まれていましたか?
新卒の就活は、セキュリティエンジニアを志望して、セキュリティベンダー企業とユーザー企業でそれぞれを視野に入れて取り組んでいました。
学生時代の経験上、WebやCloudなどの高レイヤーで、かつオフェンシブ寄りなセキュリティに触れていたため、それらの能力と経験が活かせるベンダー企業の診断系やユーザー企業のPSIRTなどの二軸で考えていました。
特に、アルバイトで脆弱性診断の実務を経験していたり、バグバウンティに取り組んだりしていたこともあり、自分の中ではもっと尖った能力が求められる業務に携わって、直近は技術的な面でさらに経験したいと思っていました。
その上で、3年次になる前くらいから気になる企業の方とカジュアル面談したり、サマーインターンに参加したり、就活の準備などを始めて、3年次の秋から早期採用のフローなどで4社と正式な新卒採用の話を進めていました。
その結果、いくつかの内定を頂いた中から、現在のセキュリティベンダー企業でWebPTをメインに働くことを決めました。
端的に振り返れば、以下の内容を早めに知った上で学生生活や就活の行動ができたことはとても良かったと思いました。
- どういう企業があり、どういう業務内容があるかを知れた点。
- 新卒採用と中途採用のページからどういう能力が求められる(Must)、望まれる(Want)かを知れた点。
- 以上の2点から自分は若い間に何に挑戦したいか、何を経験して成長したいかを考えられた点。
その上で、気になる企業があれば、どういう経験・能力・実績があると「歓迎されるスキル」などに該当するかを逆算した上で、学生中に取り組んだりもしていました。
就活に関する話もブログで公開しているため、詳細はそちらをご覧ください。
4. 今後はどういうことにチャレンジしようと考えていますか?
今後も脆弱性調査に関する業務や、バグバウンティに継続的に取り組んだりして、バグハンティングの能力と経験、実績をさらに積みたいと思っています。
ここ1年くらいで自分のバグハンティングの能力の低さを痛感し、さらにスキルアップして、より高い世界観に挑もうとインプットしたり色々と取り組み始めています。
また、新しい分野としてWeb3やAI/ML向けのバグバウンティも盛んになってきているため、それらも少しずつインプットしてバグハンティングで実践してみたいと思っています。
さらに、学生時代からBizDev(Businees Development)などに興味があり、サイバーセキュリティに関する事業開発やサービス開発などにも中長期的に携わりたいと考えています。
引き続き、技術面も継続しつつ、ビジネス面にも着手して挑戦していきたいと思っています。
5. セキュリティに興味ある学生や若手へのメッセージをお願いします!
自分のこれまでの経験やキャリアなどが、少しでも良い意味で参考になってもらえたら嬉しいです。
特に、学生中の時間は貴重で大事な時間だと思うため、ぜひ色々なことにチャレンジして楽しみながら興味分野に取り組んでみてください。
個人的には、何か一つや二つほどの自分の得意となる分野やスキルが、身に付けられるととても良いと思います。
また、Web SecurityやCloud Security、バグバウンティなどに興味ある方は、お気軽にお声がけください!
去年では、IssueHunt株式会社が主催する、学生のためのサイバーセキュリティカンファレンス「P3NFEST(ペンフェスト)」で、ハンズオン講座「実践的なバグバウンティ入門」を実施したりもしたため、良ければこちらもご覧ください。
そして、ぜひ「セキュリティ若手の会」のイベントにもご参加していただけたら嬉しいです!
終わりに
本稿では、若手セキュリティエンジニアである「morioka12」さんについて紹介しました。
「セキュリティ若手の会」についても、興味を持っていただけたら幸いです。
ここまでお読みいただきありがとうございました。
次回
第2弾は、asu_para(@4su_para)さんのインタビュー記事です。
第2回イベントについて
スポンサー企業の一般募集について
イベント開催記「第1回 セキュリティ若手の会(LT&交流会)」
Discussion