脆弱性診断士になって得たこと、感想【3ヶ月時点】

f:id:NickShadows:20190811095204j:plain




先日、BBBで脆弱性診断士になってから得たことなどをお話しました。
割と話していて楽しかったのでこちらでもまとめておこうと思います。






なりかた

誰でもなれます。



モチベと向上心があれば。




今の時代、どこの仕事も同じだと思いますが、「モチベ」と「向上心」があればだいたいなんとかなると思ってます。




むしろこの2つが無いとダメですね。
幸い今の会社でこのような方はいないのですが、前の会社や派遣先ではいました。




今回は実際に得たことをテーマにしているので、実際見て感じた雰囲気から考察していきます。




上記2つがある方は、すさまじい雰囲気がありますね。


すでにスキルがあって活躍もされていますが、技術の向上にも努めています。
平日の有料講習にもガッツリ参加していました。
同じ人間か?



そのような方が1人や2人ではないのが恵まれた環境だなと思う所以ですね。
私はまだまだ知識や経験が足りないので、向上心の点でも負けてらんないなと思いました。




そしてそのすごい方々にお話を聞いたところ、やはり最初はスキルはなかったとのことなんですね。
最初スキルなくても許される環境であるのも大切だとは思います。




これから何をどう学んでいくか。
これですね。




実際そうされて活躍されているので、反論など出るわけがありません。
地道に頑張り続けるだけですね。




仕事の内容

根幹はOWASPのガイドラインと同じです。
ガイドラインは基本的なことが書かれているので、大幅にやっていることが違う、ということはどこの会社でも無いとは思いますが。

www.owasp.org



スキルが無い場合

上記で書いたような「モチベ」と「向上心」で入った方はこちらになります。



当たり前ですが、できることから始めていく形になりますね。
私はこちらの内容は一ヶ月半くらいで終わりました。




もちろん私以外にもスキルが無い状態で入った方もいますが、いろいろ大変そうです。
ざっと見てて大変なのは以下なのかなと思いました。

  1. Webについて
  2. プロキシツールについて
  3. 脆弱性について



全部じゃん!!

そりゃそうです。
「脆弱性診断」が誰でも簡単に出来るわけなくないですか?




誰でもなれますが、簡単ではないということです。




ではなぜ、私が一ヶ月半くらいでこのフェーズをスキップできたか?
考えてみたところ、「セキュリティ業界」において全くの未経験ではなかったからでした。


  1. 半年とはいえ開発経験あり。Webの動作原理やSQLの構文はざっくりわかってる。
  2. インフラエンジニア経験あり。サーバの様子などざっくりわかってる。
  3. CSIRT経験あり(実質社内SEですが)。会社においてのリスクがざっくりわかってる。
  4. バグバウンティ独学で苦しんだ経験あり。どうしていいかわからず基本の部分をなめまくった。





オールマイティーに近いですね。
器用貧乏とも言います。




それに加え、教えてくれた方が優秀でした。
時間を割いて脆弱性について詳しく教えて頂けたので理解が早まりました。




もちろん私は楽ちんに習得したわけではなく、ある程度苦しみました。
そこを楽しめるのはやはり「モチベ」と「向上心」なんだなと思います。




また、精神論が全面に出てますが、苦しんだと言っても業務時間が長かったことはありません。
誤解なきよう。


スキルがある場合

普通に仕事をします。


入って一ヶ月半経ったくらいの私です。
もちろん完璧じゃないですけどね。




わからないフローは聞きながら、怪しい部分や判断しにくい部分も聞きながら。
割と聞きながら仕事をしています。




なぜ聞きながらでも仕事が成り立つのかは「基本がわかっている」からだと思います。
私が優秀というよりかは、上記の通り教えてくれた方が優秀でした。




そんなこんなで基本は理解できたので、後は細かいところやあまり出ないところを経験を積みながら理解していくフェーズになりました。




同僚

ハイレベル集団です

だいたい上記までで書いてしまいましたが、ほとんどの方が必要条件とスキルを兼ね備えています。
また、人間性も良い方ばっかりなので、前の会社と同じ世界だとは思えませんでした。




実質異世界転生ですね。転職は異世界転生。




まとめ

入って短期的に感じたことをまとめてみました。
だいたい「なぜ入れたのか?」や「他の人との違いは何か?」くらいですね。




まだまだ見えてる視点は狭いと思いますが、広くなっていったらまたまとめようと思います。