セキュリティを仕事にするためにSES時代にやったこと

f:id:NickShadows:20190929222757j:plain



思い返せば、SESのころもセキュリティに関連する業務は出来ました。
問題はそれが自分にとってあってるかどうかですよね。




社会人2~3年目 社内SE時代

社内SEのころのメイン業務は問い合わせ対応でした。


基本は電話で問い合わせが来るので、来ないときは暇。そんな仕事です。


ある時、ウイルスの対応をしました。
そこからセキュリティに興味が出ました。


ウイルス対応によりセキュリティに興味が出たので、やりたいことといったらもちろんマルウェア解析です。


ただ、それは出来ないので課題と現状出来ることを考えました。


課題
1. プログラミングスキル
2. セキュリティ基礎知識



現状出来ること(仕事の時間内で)
1. セキュリティ関連の情報収集
2. セキュリティ周りの業務改善



こんな感じですね。
情報収集は、WindowsUpdateの内容を読んだり、ひたすらニュースサイトを見たりしていました。
そのせいで「仕事しろ!」と2~3回注意されました。暇なのが悪い。


見てたサイトはitmediaとか、マイナビニュースのセキュリティ、各種セキュリティベンダのブログとかです。
後、threatpostとかも見てましたがあんまり内容は入ってこなかったです。


ただ、色々調べていたおかげで様々な仕事をやるようになってきました。
以下をやったりしていました。

  • インシデント発生時のフロー
  • 監視運用設計
  • ログ解析



ネットで得た知識を元にフローだったり運用だったり言っていたら私が改善する流れになって、なんだかんだ協力してもらって出来たって感じです。


ちょうどWSUSを導入する頃だったので、それの運用を作りました。


これらに伴うログの解析もしてました。
ログはネットワークのログだったり、Windowsのログだったり、運用ツールのログだったりです。
アドウェアが多かったので、レジストリもよく見ました。


ジャンルとしてはフォレンジックに近いですね。
浅いフォレンジック。


既存の業務内容ではなかったですが、やろうと思えばやれるもんですね。


知らんうちにセキュリティ関連の作業リーダーみたいになってました。
チームは4人くらいでしたが。


このときの心理としては、マルウェア解析をやりたかったけど仕方ないから運用で出来ることをした、って感じです。


なので、4年目に入ってちょっとしてから会社を辞めました。
本来の目的に向かいます。


次の会社で開発をやることになって、それは大いに役立つのですが、直接セキュリティと関係が無いので割愛します。


社会人5年目 テクニカルサポート時代

いろいろあってもう開発はやりたくなくなって現場を移動したら、 SESの宿命か、また社内SEみたいな仕事になってしまいました。


前はサーバはあまり触らなかったので、技術的には少し進歩しましたが、3ヶ月もやれば習得できて飽きる内容です。


さすがにセキュリティをメインに仕事にしたくて3~4年くらい経つので、行動に出ました。


セキュリティエンジニアを名乗り、社内に情報共有をしはじめました。


SES会社なので、「社内」はSES会社の社員に対してです。


知識も経験も未熟の極みでしたが、とりあえず名乗って行動し始めました。
内容は以下です。

  • セキュリティのニュース
  • WindowsUpdate情報
  • やり始めたハニーポットの情報



パスワードのポリシーだとか、wifiのWPAハッキングレポートだとかを共有してました。


なんとこのときの環境、びっくりするほどのブルーオーシャンでした。
セキュリティに詳しい人間がほとんどいない。


500人くらい社員がいましたが、2~3人でした。
なので、わかりやすく「セキュリティやってる人」のポジションがゲットできました。


そして出向先のテクニカルサポートの現場ではWindowsUpdateの情報を垂れ流してました。
これもやる人は1割くらい(約20人いて2~3人ほど)だったので、あっという間にセキュリティ詳しい人になりました。


とりあえずWindowsUpdate知ってればセキュリティ詳しい人になれる法則ができあがりました。
チョロいですね。


振り返ってみてこの時代で大事だと感じたことは、「とりあえず名乗って頑張って行動する」です。


このときはセキュリティ特化の仕事をやるためにいろいろやってましたが、結果的に上記みたいなことをやってました。
手っ取り早く実績を作るには、知識を貯めてる時間は無く、行動しながら貯めるしかありませんでした。


そうする内に独学の限界にたどり着き、後は仕事をしながらの経験がほしい段階になりました。
ここで会社に相談したところ、セキュリティメインの仕事は難しいとのことで転職に至りました。


まとめ

  1. 現状できそうなことをした
  2. とりあえず名乗って行動した
  3. できる限界が来たら環境を変えた

終わりに

なぜかふと思い出したのでまとめてみました。
私がやっていたことって、多くの企業が「セキュリティエンジニア」として欲しがってる内容じゃないですかね?


これに加えて運用設計・改善やインシデント対応の経験が積み上がれば一般企業の需要がグーーンな気がします。


私はこの仕事が面白いと感じなかったのでこの方向へは進みませんでした。
ただ、やろうと思えばセキュリティの仕事は案外どこだってできるもんですね。