Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

セキュリティエンジニアを志して4年、たどり着いたスタートラインへのキセキ

f:id:NickShadows:20190501140012j:plain



2019年5月からセキュリティエンジニアとして働くことになりました。
分類としては脆弱性診断となります。
一応、年齢も書いておくと2019年5月時点で23歳です。
高卒で社会に出ました。
会社名などは非公開にしておこうと思います。


2015年にふとしたきっかけがあって、セキュリティを仕事にしたいと思いました。
そして2019年、平成も終わり令和が始まったときに私のセキュリティエンジニアとしても始まりました。
(実際は5/7からなのでこのブログを書いているときはGWですが)


約4年間試行錯誤をして、ようやくゴールにたどり着き、そしてスタートラインに立つことが出来ました。
自分の思い描いていたものとあっているか、違うかは分かりませんが、一区切りだと思います。
自分への励み、そしてもし参考になる方がいらっしゃたらと思い、4年間の軌跡をまとめようと思います。


2015年

f:id:NickShadows:20190501140648j:plain


6月

19歳の頃です。
このとき、社内エンジニアのサポートとして出向して業務していました。
内容はWindowsの簡単な問い合わせ、PCの設定、プリンタの設定などです。


最初は開発がやりたいと思い、javaを勉強していました。
oracleのjava silverも目標にしていました。


きっかけは、ウイルス感染騒動でした。
何でも無いかと思われた日に不審な通信が発見されたのです。


ウイルスのことなんて深く考えていなかった私は、すごく慌て、必死で調べて考えて対応しました。
もちろん私一人だけではなく、メンバーの方合わせて5人ほどで対応しました。
その中で、私の行動が結果的に役に立つことがありました。
それは、IPAの注意喚起にあったことをbat化していたことです。


こう書くとすごいことをしたのではないかと思いますが、実際はなんてことはなく、IPAが見ろと案内してあるディレクトリを 出力するようにbatを組んだだけです。以下が実際のIPAの注意喚起です。

www.ipa.go.jp



とりあえず、事態は無事に収束しましたが、私はとても称賛されました。
当時19歳だったので、期待に反して結果が大きかったんでしょうね。
かなり称賛されたため、ウイルス、そして大本のセキュリティに興味を持つことになりました。


ここで役になったのは、勉強していたjavaのスキルです。
使用したのはbatですが、基本的なところが役に立ちました。

役に立ったスキル:java



7月

6月にあったウイルス騒動の予防策として、できる範囲で監視をすることになりました。
試験運用みたいなものなので、まずは外部に委託せずにできる範囲を探ることになりました。
その際、IPAの注意喚起をbat化していた私はプロジェクトの主軸となりました。
詳細はおそらく企業秘密なので語れませんが、ここで初めてセキュリティの運用設計に関わることが出来ました。


9月

この頃に目指していたjava silver SE8に合格することが出来ました。
具体的な時期は覚えていませんが、SE8の試験が発表されてから1,2ヶ月以内にとった記憶があります。
参考書がない状況でSE8の範囲も網羅して合格できたことはとても自身になりました。
この段階ではセキュリティに興味は出ていますが、開発を見据えています。

取得資格:java Silver SE8



2016年

f:id:NickShadows:20190501144315p:plain:h400



1月

ここでWSUSの導入・構築に関わることが出来ました。
セキュリティに興味が出ていたため、更新プログラムのことも逐一調べていたのが役に立ちました。

役に立ったスキル:更新プログラムの情報収集



4月

20歳です。
このときに壁にぶち当たりました。
おそらく多くの方がぶつかり、悩んでいると思いますが、「派遣による業務選択不可」です。


ずっと開発がやりたいと思い、勉強を続けてきましたが、それは会社には伝わらなかったです。
成果を出すのがいいのかと上記のようなことを頑張ってきましたが、現場に必要不可欠だと判断されてしまいました。
私自身に価値を見出してくださったのは嬉しく思いますが、開発をやりたい私にとっては裏目となってしまいました。
そして、会社から言われたことは、「もっと頑張れ、期待している」でした。


会社の気持ちはだいたい想像つきます。以下の3点だと思っています。

  1. スキルが不安
  2. 経験がない
  3. 運用で育てたい

至極全うな考えだと思います。調子乗った20歳の若造の好きにさせる会社なんかありませんね。
ついでに、今回から始まった情報セキュリティマネジメント試験を受けてみました。
そんなに難しくなかったので、第一回の合格者となりました。
直近の資格取得を元に、会社と相談する日々が始まりました。

取得資格:情報セキュリティマネジメント試験



10月

明確な時期は覚えていませんが、10月くらいだったと思います。
精神が落ち込んでしまい、良くない状況になりました。
原因としては、「不安」がありました。


社内エンジニアの業務はほぼ同じ内容です。
ぽんぽん変わってたら社内の普通の業務している方が混乱してしまうため、当然ですね。
頭では理解できましたが、代わり映えしない毎日に不安を感じました。
年齢は21歳です。


会社からは、どう声をかけても「期待している」しか言われませんでした。
実際の業務では、一日の半分ネットサーフィンをして終わるなんてことは珍しくありませんでした。
これはチャンスかもと思い、セキュリティについて学んでいたりもしました。


しかし、このセキュリティについて学ぶことが良いことにも悪いことにも繋がりました。
良いこととしては、ここで本格的にセキュリティを仕事にしたいと思えました。
単純に何かを研究していくのがかっこいいと思えましたし、それが人の役に立てるのもいいと思えました。

悪い点は、現実とのギャップです。
当時、ネットで「セキュリティエンジニア なるには」、「セキュリティエンジニア キャリアプラン」で検索しても開発で5年経験してから~とか、 ネットワーク構築だか運用を3~5年~だかしか出てきませんでした。
まぁそれは今でもそうですけどね。


ただし、ここで現実でネットサーフィンしている自分とやるべきことをやってセキュリティエンジニアになっている方とでギャップを感じてしまい、精神がやられてしまいました。
これは半年ほど続きます。


2017年

f:id:NickShadows:20190501150328j:plain

4月

このあたりで転職を志します。
方針としては、開発を3~5年やってからセキュリティエンジニアになることにしました。
目指していたのは脆弱性診断士ですね。
ここが原点だと思います。


精神はボロボロで、電車に乗るたび、布団に入るたび涙があふれるという毎日でしたが、詳しくは語りません。


8月

ここで転職が決まり、javaで開発をやることになりました。
希望に満ちあふれていました。
しかし、この開発案件は2018年の1月で終わります。

振り返ってみるとわかりますが、2017年はひどい年ですね。
精神ボロボロ、新しく得たスキルもない。

2018年

f:id:NickShadows:20190501150836j:plain

1月

javaの開発案件が終わってしまいました。
半年ほどでした。しかし、また開発をやろうとは思いませんでした。
理由は以下になります。

  1. 仕事のために何かを作るというのが合わなかった
  2. 好きじゃないものを作るのは楽しくなかった
  3. 最新の技術を使うわけではなかった



3に関しては現場によると思いますが、1、2は完全に自分の都合でした。
この現実はショックでした。なんかの本で、「夢を仕事にしてもそれが本当にやりたい仕事であるかはわからない」ってありましたが、 まさか自分に適用されるとは思いませんでした。


そう思ってから、また「セキュリティエンジニア なるには」とかでググっていると、見慣れないサイトが出てきました。
それは、「セキュ塾」です。

www.heatwavenet.co.jp



ここにだいたい7月まで通っていました。
内容などは7月で語ります。


2月

当然ながら現場が異動になりました。
次の現場はというと、また社内エンジニアのサポートです。


経緯としては、開発が出来ないのであればIPSなどのログ解析をするエンジニアになりたいと思ってました。
そこで、サーバエンジニアを目指すことにしたのですが、下積みとして放り込まれました。
仕事内容としては2015~2017年でやっていた業務と変わらなく、退屈な毎日に戻りました。


7月

セキュ塾さんを辞めました。理由は、金欠です。
それと、転職する気はあまりなかったというのもあります(セキュ塾はセキュリティ関係の求人も扱ってました) ですが、たくさんのことを学ばせて頂きました。セキュ塾がなかったら、今の私は無いでしょう。 おおよそですが、以下を学びました。

  1. CTFの存在
  2. ネットワーク解析
  3. バイナリ解析
  4. PWN
  5. Webハッキング

嘆いていたも仕方ないので、独学で学ぶことにしました。


10月

非常に試行錯誤した結果、Webを中心に取り組むことに決めました。
それは、「バグバウンティ」というのがあるとしれたからです。
ある日、ツイッターを見ていると、No1zyさんのつぶやきがあり、ブログが書かれていました。

no1zy.hatenablog.com



これを見た私は、「お金がもらえるんだ!」「実績が作れる!」ということでWebのバグバウンティに取り組むことにしました。 ちなみに、No1zyさんのつぶやきを見るまではwiresharkでwifiのパケットを見ていたり、exploit DBで脆弱性を再現して遊んだりしていました。


この頃に日本ハッカー協会さんも出来たかな、と思います。
最初見たときは、「何だこれ!」と思いましたが、速攻登録しました。

www.hacker.or.jp



2019年

f:id:NickShadows:20190501152612j:plain

1月

ここで日本ハッカー協会さんからご連絡があり、結果的に転職することになりました。
この日まで正直、日本ハッカー協会さんは何をしているかわからず、特にニュースにもならないので気にしていませんでした。


他の転職エージェントも使用してましたが、セキュリティ会社は少なく、ハイレベルのものしかありませんでした。


ハッカー協会さんは(おそらく)さまざまな会社があり、未経験で入れる可能性がある会社が2社ありました。
そのうちの1社に入れました。
普通の転職エージェントを使用していたら絶対に入社できなかったので、本当に助かりました。


転職時期はなぜか会社にゴネられ、2ヶ月経たないといけないというルールもあったので5月となりました。

まとめ

結果として学んだスキルは以下になります。

  1. 2016年 java silver SE8
  2. 2017年 情報セキュリティマネジメント試験
  3. 2018年 基本CTF知識
  4. 2019年 Web



1年ごとにゆっくり学んでいったって感じですね。
運良く、セキュリティエンジニアにたどり着くことが出来ました。


きっかけをくださったのは大きく御三方だと思います。 セキュ塾さん、No1zyさん、日本ハッカー協会さんです。
私の人生に大きく変化を与えてくださったこと、本当に感謝しています!
この場で御礼を申し上げます!

また、ここからがスタートラインだとも思っています。
油断していては足元をすくわれる業界、むしろここからが本番でしょう。
精神を壊さないよう、頑張っていきます。