若手セキュリティエンジニアのインタビュー記事6「R*」
始めに
本稿は、新卒1~3年目の若手セキュリティエンジニアを対象に、セキュリティの職に興味ある学生や若手向けのインタビュー記事です。
第6弾は、通信事業会社で働く新卒1年目の「R*(@Raster0x2a_tech)」さんです。
「セキュリティ若手の会」とは
「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
「若手セキュリティエンジニアのインタビュー記事」は、「セキュリティ若手の会」が実施するプロジェクトの一つです。
インタビュー「R*」
0. 自己紹介
- 通信事業会社で働く24卒のセキュリティエンジニア(新卒1年目)
- 業務領域:Red Team、オフェンシブセキュリティ研究開発
- X:https://x.com/Raster0x2a_tech
- 修了:セキュリティキャンプ全国大会(2022)
- セキュリティ若手の会:第1回イベントLT登壇者
セキュリティイベントでよく顔を出しています。
1. 現在はどういう業務に取り組まれていますか?
私は通信事業会社の社内/社外向けRed Teamに関する業務と、オフェンシブセキュリティに関する研究開発を主な業務として取り組んでいます。
Red Team業務では、Red Teamサービスで利用するような攻撃技術の検証を行ったり、社内の組織を対象にWhite TeamやBlue Teamと連携したRed Team演習を実施したりしています。特に普段の業務としては、Red Teamの技術支援として様々な攻撃テクニックの検証を行い、それらの攻撃テクニックを実際に使えるように武器化を行ったり、攻撃や検証の基盤となる環境の整備をしたりといったことを行っています。
Red Team演習では、攻撃が可能な状態になっているという脆弱な箇所を指摘することにとどまらず、実際に擬似的な攻撃を行ってみて、どのように対処できるかの訓練や対応を評価するということが求められます。攻撃者の目線からセキュリティの向上を目指すという刺激的かつ挑戦的な取り組みで、知識やアイデアを積極的に活用できるという点でも面白く、また実践的で意義のある取り組みだと思います。
研究開発では、オフェンシブセキュリティに関連するテーマでのリサーチやツール開発などに取り組んでいます。特にRed Team演習のオペレーションを行う現場により近い視点で研究活動を行い、Red Team演習の実態調査や演習の改善に役立つ知見の創出を目指しています。
また、サイバーセキュリティ分野における新たな脅威の探索や、発見した手法を外部に向けて発表するといったことにも取り組んでいます。特に、私は現在CI/CDを悪用した新たなC2手法の調査と対策に繋げるための疑似攻撃ツールの開発に取り組んでいます。こちらの取り組みも、国内外のカンファレンスでの発表を目指しています。
2. 学生時代はどういうことに取り組まれていましたか?
最初にIT分野に触れたのは高校3年生の頃で、なんとなく触ってみたプログラミングが面白く、それ以降独学でプログラミングやコンピュータサイエンスを学びながら趣味としていろいろなものを開発したり、競技プログラミングに取り組んだりしていました。
フリーランスエンジニアとして業務委託を受け、業務効率化ツールの開発やプログラミングの講師なども行っていました。
学部1年生の頃にCTFに参加したことをきっかけにセキュリティに興味を持ち、その後は継続的に国内外のCTFに参加しつつ、様々なセキュリティイベントにも参加していました。
分野としては、元々趣味としてWeb開発を行っていたこともあり、Webセキュリティを中心として幅広くセキュリティについて学んでいました。具体的には、Webセキュリティの他にマルウェア解析やDFIR、低レイヤでの脆弱性の悪用、脅威情報の収集、セキュリティ分野での機械学習の応用などについても学んでいました。
CTFのほかには、バグバウンティを含む脆弱性報告などにも取り組み、数件の報奨金の獲得や大学で広く使用されているシステムのCVEの取得などにいたりました。実際の製品やサービスのバグハントでは、CTFとはまた違ったリアルワールドの脆弱性を探すという面白さや学びもありました。
大学での活動としては、情報系の学科に所属し、学部の4年間で情報科学に関する基本的な内容を学びました。とはいえ入学以前から独学していた範囲と被る部分も多く、特にセキュリティに関する知識としては自主的に学んだ内容がほとんどではありました。また、卒業研究では、Webの脆弱性であるXSSの検知・防御に関するテーマで研究に取り組みました(正直なところ、あまり十分に力を注げてはいませんでした)。
他に、研究室からの紹介で学会イベントやセキュリティに関する学習プログラムに参加させていただき、産学の垣根を超えた取り組み・コミュニティでいろいろなものを学ぶ機会が得られた点は貴重な経験でした。
詳細は次の項で述べますが、セキュリティのいろいろな分野のインターンシップに参加したことも、実務としての現場のセキュリティの面白さを知るきっかけになりました。
3. 新卒の就活はどういう感じに取り組まれていましたか?
初めからセキュリティ分野に絞り、その中でより興味の強い分野を探りながら就活を行っていました。
具体的には、学部2年生の冬頃から3年生の冬頃にかけて、脆弱性診断、PSIRT、インシデントレスポンス、セキュリティツール開発、Red Teamなどの業務を体験するインターンシップに参加しました。期間としてはいずれも短期のもので、最長でも2週間程度でしたが、できるだけ実際の業務に近い形で手を動かしながら体験できるインターンシップを選んで参加していました。
その中で、これまで取り組んでいたことに近いオフェンシブな内容により興味を持ち、本選考エントリーの段階では分野をオフェンシブセキュリティに絞りました。インターンに参加しなかった企業も含め数社を検討し、最終的にはいくつか内定をいただいた中で現在のRed Teamとして働くことに決めました。
自身の就活で最も注力して取り組んだことは、自分が何に興味があるか・どのような環境で働きたいかを探ることと、どのような場所であればそれができるかということをインターンシップや企業研究を通して調べることでした。
セキュリティ分野に限らずたまに学生の就活に関する相談に乗る機会があるのですが、何人かの相談を通してやはり企業研究よりまず自分が求めているものが何かを整理することで自ずと何を考えればよいか・何をすればよいかも定まっていくのではないかと感じました。私自身は最終的に納得のいく結果を得られたので、少なくとも個人的には方針としてよかったのかなと思っています。
4. 今後はどういうことにチャレンジしようと考えていますか?
業務についての項でも述べましたが、現在新たな攻撃手法を使用した疑似攻撃ツールの開発に取り組んでおり、国内外のカンファレンスでの発表を目指しています。イベントやカンファレンスの場での発表といった経験がまだ浅いため、機会があれば経験していきたいと思っています。
また、英語をかなり苦手としているので、国際カンファレンスでの発表や交流の機会に備えたり、普段の業務でも英語のリソースをより精度高く読み込んだりすることに役立てられるよう英語学習も意識していきたいと思っています。
他に、セキュリティに関する知識を場当たり的に身に付けてきたこともあり、オフェンシブセキュリティの土台となる基本的な知識・スキルにおいて欠けている部分がまだ多くあるので、若手でいられる間に最新の技術情報をキャッチしながらも基本的な部分を積極的に学んで身に付けていきたいと思っています。
また、同時にハードスキルだけでなくソフトスキルも身に付けていきたいなと思っています。
5. セキュリティに興味ある学生や若手へのメッセージをお願いします!
この記事で書かせてもらったことが何かしら参考になれば幸いです。
セキュリティ分野は技術領域の中でもかなり広範な分野なので、興味のあることや気になっていること、現時点で特別興味を持っていなくても隣接している技術分野など、様々なことに是非取り組んでみて、実際に手を動かしながら学んでみることで多くのものが得られると思っています。
セキュリティ分野に限らなくても、学生の間・若手の間に自分のやりたいことを探す・自分にできることを増やすという試みを繰り返すことは貴重な資産になると思うので、積極的に取り組んでいくことをおすすめしたいです。
私自身も言わば「楽しさドリブン」で、興味のあることにとりあえず手を出してみることによってセキュリティを学び始め、続けてきました。
また、セキュリティ分野では「セキュリティ若手の会」含め多くのコミュニティがあり、同じ興味分野を持ちつつ別の立場を持った人々と意見を交換できる場としてまた違った学びが得られる思うので、積極的に参加していくことをおすすめしたいです。
終わりに
本稿では、若手セキュリティエンジニアである「R*」さんについて紹介しました。
「セキュリティ若手の会」についても、興味を持っていただけたら幸いです。
ここまでお読みいただきありがとうございました。
次回
第7弾は、daiki0508(@otani_daiki)さんのインタビュー記事です。
第2回イベントについて
2025/03/16(日)に東京で「第2回 セキュリティ若手の会(LT&交流会)」を開催予定です!
セキュリティ分野に興味ある方やセキュリティの職に就いている若手エンジニアの方は、ぜひ以下をチェックしてみてください。
第2回 セキュリティ若手の会(LT&交流会)
イベント開催記「第1回 セキュリティ若手の会(LT&交流会)」
Discussion