Nick Security Log

securityを始めとしたNickのブログです

脆弱性診断士になって得たこと、感想【3ヶ月時点】

f:id:NickShadows:20190811095204j:plain


先日、CSLで脆弱性診断士になってから得たことなどをお話しました。
割と話していて楽しかったのでこちらでもまとめておこうと思います。




なりかた

モチベと向上心があればなんとかなる気がしました。

今回は実際に得たことをテーマにしているので、実際見て感じた雰囲気から考察していきます。


すでにスキルがあって活躍もされていますが、技術の向上にも努めています。
平日の有料講習にもガッツリ参加していました。

そのような方が1人や2人ではないのがすごいと思いました。
私はまだまだ知識や経験が足りないので、向上心の点でも負けてられないなと思いました。

そしてそのすごい方々にお話を聞いたところ、やはり最初はスキルはなかったとのこと。
最初スキルなくても許される環境であるのも大切だとは思います。

仕事の内容

根幹はOWASPのガイドラインと同じです。

www.owasp.org



最初はできることから始めていく形になります。
以下から始めていきました。

  1. Webについて
  2. プロキシツールについて
  3. 脆弱性について


初歩の初歩からやっていきました。
初心者からでもできるとは思いますが、だいぶ辛いと思います。

私はある程度セキュリティ業界において全くの未経験ではなかったので、少しは楽に取り組めました。
おおよそ以下のようなスキルは持ってました。

  1. 半年とはいえ開発経験あり。Webの動作原理やSQLの構文はざっくりわかってる。
  2. インフラエンジニア経験あり。サーバの様子などざっくりわかってる。
  3. CSIRT経験あり(実質社内SEですが)。会社においてのリスクがざっくりわかってる。
  4. バグバウンティに独学で取り組んだ経験あり。



教えてくれた方が優秀だったのがすごくありがたかったです。
時間を割いて脆弱性について詳しく教えて頂けたので理解が早まりました。

まとめ

入って短期的に感じたことをまとめてみました。

まだまだ見えてる視点は狭いと思いますが、広くなっていったらまたまとめようと思います。