Zenn
💸

2年間で21個のセキュリティ資格を取ってわかったこと

2025/03/22に公開
68
Security
エンジニア
資格
OffSec
サイバーセキュリティ
idea

事業会社でセキュリティエンジニアをしている@the_art_of_nerdです。

初めてIT業界の資格を取得した2023年3月から2025年3月の2年間で21個のセキュリティ資格を取得することができました。その過程で学んだことや資格を取ることのメリット/デメリットなどを個人の視点からまとめてみたいと思います。

忙しい人向け

資格を多くとることについて

メリット

  • 知識の幅を広げることができた
  • 知識を視覚化することができた
  • 経験年数の短さをカバーすることができた
  • 多少なりの自信に繋がった

デメリット

  • 資格を取ることがゴールになってしまう可能性
  • 資格だけの人間になってしまう可能性
  • お金と時間のコストが大きい

資格は意味ない説について

どちらでもいいと思います。
スキル面で資格を多くとっていてすごい人、持っていなくてもすごい人どちらも出会ったことがあるので、結局は継続して勉強や成長できればエンジニア的にはよいのではないかと考えています。

簡単な自己紹介

ブルーチーム寄りで働いているセキュリティエンジニアです。
セキュリティベンダーで働いたのちに現在は事業会社のセキュリティエンジニアとして働いています。
エンジニアとしてのキャリアは最近で後発なので、私が他のセキュリティエンジニアと戦える領域はどこかと日々模索しています。

セキュリティの資格との出会い

初めての資格

2022年4月にOSDAというOffsec社が提供するデフェンスに特化した資格の存在を知ります。そこから1年間そのコンテンツを学習したのちに、2023年3月に24時間の実技試験 + 24時間のレポート作成を乗り越えて合格できました。

これがエンジニアとして取得した初めての資格でした。
また、当時OSDAを取得していることを報告している日本人も見当たらなかったので、そういった点でも思い出として残っています。

マルウェア解析との出会い

ブルーチームとして最低限のスキルを持っていることがわかったので、もう少し難易度を上げてマルウェア解析の領域に挑戦しました。単純に"マルウェア解析"への憧れが強かったことも理由です。
この当時はひたすらマルウェア解析に関する書籍を買い漁って基礎知識を身につけていました。

また、TryHackMeという海外のセキュリティ学習サイトも熱心に取り組んでいた時期でもあり、365日連続で問題を解くことで取得できる証明バッチを取得できました。(最終的に380日くらいまで続いた記憶)

その結果、Zero2Automatedという静的解析に特化したマルウェア解析の資格を取得できました。試験期間は2週間とハードなものでしたが、得られた知識と経験は大きいものでした。

eLearnSecurityとの出会い

SOC→マルウェア解析の流れで資格を取得できたので、次は何がよいか悩んでいたところ、攻撃側の知識が圧倒的に不足していることを自覚したことや、フォレンジックエンジニアとしてのキャリアも面白そう(SOCやマルウェア解析と親和性が高い)ということで、eLearnSecurityの年間ライセンスを当時在籍していた会社に購入してもらいました。

その結果、eLearnSecurityとして提供している資格を5つ取得しました。
こちらも全て実技形式でレポート作成が必須のものを含まれます。
この学習のおかげでフォレンジックや脅威ハンティング、ペネトレーションテストに関する知識を習得できました。

ツイートの通り2023年に取得した資格は7つで終了しました。

Offsecへの挑戦と準備期間

ある日、X(Twitter)を眺めていたところ、信じられない数のOffsecの資格を取得されたという方のツイートがまわってきました。

どうやったらこんなに大量の資格を1年間で取れるのか気になっていましたが、この方はLearn Unlimitedという1年間Offsecの難易度100 ~ 300までのコンテンツと試験に何度も挑戦できるプランを契約されており、その期間内で取得されていることがわかりました。

私も同じく挑戦してみたい気持ちが強くなりましたが、このLearn Unlimitedは約90万近くする代物なので、すぐに会社としてOKはでずに2024年1月から2024年3月まではOffsecのシラバスや受験記を見ながら事前学習を行うことにしました。

Offsec漬けの1年間の始まり

当時在籍していた会社の好意でLearn Unlimitedを契約してもらい、2024年4月から開始しました。

まずは作戦として200系の資格を潰していこうと計画しました。とりあえず試験の予定をいれるだけ先に入れてあとは勉強するだけです。

4月

最初にOSWA(Webペネトレーションテスト)を取得しました。

4月

その次はGWを生贄にOSEP(OSCPの上位と言われているもの)を取得しました。
metasploitやSQLMapの使用に制限がないことや、マルウェア解析で学んだ知識も行きたためOSCP(ペンテスト)より先に選択しました。

5月

Offsecのおまけ資格その① OSWPを取得しました。
環境は用意せずにエアプで挑みました。。。

5月

OSWE(OSWAの上位資格)を取得しました。
曲がりなりにもPythonをかけるスキルがあってよかったと思う試験でした。

6月

KLCPを取得しました。
知る人ぞしる激ムズ試験です。
Offsecの資格で唯一の選択式知識問題です。

7月

ひたすらOSEDの勉強をしていました。

8月

OSEDを取得し、OSCE3も同時に達成しました。

OSCE3になると実物証書とコインがもらえます。(カッコいい)

そして、唐突に爆誕したOSCCという100レベルの資格も取得しました。

このときは、残りはOSMR(Mac環境のペンテスト)とOSCPの2つだったので安心していました。
しかし、その後1つの資格が更新され3つの資格が追加されることになりました。。。

9月

一ヶ月転職活動していました。
ベンダーのSOCエンジニアとして働いていましたが、もっと深い部分まで関わりたいという思いなどから事業会社のセキュリティエンジニアを目指していました。
基本リモートの環境を捨てて週3出社の会社を選ぶのには少し悩みましたが、得れる経験やまだ20代ということもあり、得れる経験の方が重要と判断して挑戦することにしました。

10月

Offsecから新しく脅威ハンティングの資格OSTHが登場しました。
早速受験して合格しました。

11月

OSCPが更新されることになり、少しまわりがザワついていました。
この辺りからOSCPの学習を本格的に開始したり、新たにリリースされたOSIRというインシデントレスポンスの資格勉強をしていました。
また、OSCP+を様子見で挑戦しましたが普通に落ちました。

12月

OSIRに合格しました。

また、セキュリティの資格ではないですが転職先の会社が金融系のため、「証券外務員 一種」の勉強も同時並行で進めて、なんとか入社前にギリギリ合格できました。

1月

OSCP+に合格しました。(OSCPを持っていたなかったので2個同時に取得になりました)
とても難しかったですし、新しい会社で働き始めた時期だったので仕事もプライベートもバタバタでした。

2月

OSMRに合格しました。
Mac環境でのペネトレーションテストの試験でしたが、試験には一連の流れがあり非常に面白かったです。また、単純に普段つかっているMacのセキュリティ機構を知れてよかったです。

これでOffsecの資格はLearn Unlimitedで取れるものは全て取り終えてひと段落と安堵していました。

3月

3月20日に唐突にOSCCのSJD-100がリリースされました。
これはJavaで作られたWebアプリケーションのセキュアコーディングに焦点を当てたコンテンツです。
ラボや試験も個人的に面白かったです。
3月22日の夜22時に試験を入れましたが、これは失敗でした。
この日は朝から会社へ出社していたこと、そして試験環境のトラブルにより2時間30分トラブル対応で待っていたことにより睡魔と集中力が切れた中でソースコードを読む作業は中々厳しいものがありました。
また、JavaのWebアプリケーションを構築した経験がないため、Javaのお作法や記述方法などわからなかったので試行錯誤をしてなんとか合格できました。

これにて本当にOffsecの資格取得の旅は終了です。(新しい資格がでなければ)
一応、私の契約期間は5月まであるため(Offsec側の問題で1ヶ月伸びました)4月に何かでたら一応挑戦すると思います。

資格代金について

高価な資格ライセンスを購入していただいたその年に退職してしまっているため、退職時にはしっかり謝罪をしています。その上でアカウントについては今後も使ってよいと許可をいただいています。今でも大変感謝しています。

資格を取りおえて

上記で紹介した資格はどれもハンズオン形式なので、実際に手を動かしながら知識の習得ができました。
また、実務のみでは学ぶ機会がない範囲のスキルも身につけることができた点も非常によかったと感じています。しかし、それはある意味"広く浅く"なっているということでもあり、今後は実務を通して専門性を伸ばしていかなければならないと強く感じています。

ただし、現在在籍しているのはセキュリティベンダーではなく、事業会社なので"事業の内容と絡めた"セキュリティのスキルであったり知識の専門性を伸ばしていく予定です。
当たり前の話ですが、資格の種類や数でお金が出ているわけではなく、実務の内容に対してお金をいただくので実務でどれだけ結果を残せるかが重要です。これができないと「結局、資格は意味がない」と言われてしまう所以になりかねません。

資格について

冒頭にも軽く記載していますが、資格を有無に関わらずスキルがあるエンジニアには出会ってきたので、「資格への憧れ」、「知識を可視化したい」、「資格取得による達成感を味わいたい」などの理由があれば資格を取ればよいと思います。逆に資格に興味がない方も存在することは当たり前の話なので、どこにモチベーションを出して学習しているのかの違い程度だと考えています。
(あくまで私は資格への憧れが大きく、それを利用して学習しているだけに過ぎないので)

どこで戦っていくか

私のモチベーションはスキル習得はそうですが、結局のところお金です。
そのため、仮にこの先専門性を磨き続けた結果待っているのは数少ないポジションの争奪戦です。
これはマルウェア解析などが代表的な例ですが、まずスキルを身につけるところからハードルが高いですが、それを専門の仕事として就職する場合は、さらにハードルは高くなります。また、そのようなポジションを目指す際には、学生の頃から専門的に学ばれてきた方々と戦って、椅子取りゲームに勝ち残らなければなりません。そして、勝ち残れなかった場合は高い給与は望めないです。
(もちろんお金だけが全てではありませんが)

社会人になってからエンジニアを始めた私の場合、彼らと戦えるだけの経歴やスキルもないため、また違った道を探す必要がありました。そういった背景もあり、今回紹介した資格等で学んだ幅広い知識を活かせる事業会社のセキュリティエンジニアを探していたところ、現在の企業と出会い働くことになりました。

まだ、事業会社では3ヶ月程度しか働いていませんが、これまで学んできた知識をベースにチャレンジングに働けているため良い選択でした。これは私の一例ですが、これからセキュリティエンジニアを目指す方は「将来どこで戦っていくか」も考えながら日々勉強に取り組んでいくこともオススメします。

さいごに

私が2年間で取得した資格の紹介をメインに、そこで得たものや課題に感じたものを書いてみました。
まだまだハードスキル・ソフトスキルともに課題しかないので、これから実務を通して成長していかなければならないので、これからも自分のペースで頑張っていきます。

資格した取得一覧(おまけ)

  1. 2023年3月:OSDA(SOC)
  2. 2023年8月:Zero2Automated(マルウェア解析)
  3. 2023年9月:eCDFP(フォレンジック)
  4. 2023年10月:eJPTv2(ペンテスト)
  5. 2023年11月:eCTHP(脅威ハンティング)
  6. 2023年12月:eCPPT(ペンテスト)
  7. 2023年12月:eCIR(インシデントレスポンス)
  8. 2024年4月:OSWA(WEBペンテスト)
  9. 2024年4月:OSEP(ペンテスト)
  10. 2024年5月:OSWP(WiFiクラック)
  11. 2024年5月:OSWE(WEBペンテスト)
  12. 2024年6月:KLCP(Kali Linuxの知識問題)
  13. 2024年8月:OSCC(セキュア開発・ペンテスト・SOC)
  14. 2024年8月:OSED(BoFエクスプロイト開発)
  15. 2024年8月:OSCE3(OSWE・OSED・OSEPを取得した際に同時に付与)
  16. 2024年10月:OSTH(脅威ハンティング)
  17. 2024年12月:OSIR(インシデントレスポンス)
  18. 2025年1月:OSCP+(ペンテスト)
  19. 2025年1月:OSCP(ペンテスト)
  20. 2025年2月:OSMR(ペンテスト)
  21. 2025年3月:OSCC-SJD(セキュア開発)
68

Discussion

ログインするとコメントできます