【エンジニアブログ】システム開発エンジニアからジョブチェンジした私が語る、サイバーセキュリティ職を目指すあなたに伝えたいこと

見出し画像
 

みなさんこんにちは、パーソルプロセス&テクノロジー・グループソリューション統括部・プラットフォームソリューション部・情報セキュリティグループ所属、仁科です。

今日私がご紹介しようと思っているのは、ズバリ「サイバーセキュリティ」についてです。セキュリティエンジニアというと、他のエンジニア、例えばアプリケーションエンジニアとは全く別領域のイメージを持っている方も多いのではないかと思います。

しかし、興味がある・やってみたい、という気持ちがあれば、何かのきっかけにジョブチェンジすることはできます。私自身、キャリアのスタートはアプリエンジニアでした。ということで本日は、

・サイバーセキュリティって何?
・(アプリ)エンジニア時代の経験って活かせるの?何が似ていて何が違うの?
・どうすればサイバーセキュリティの仕事につけるの?

といったことを書いていこうと思います。

 

私について

画像1

元々は開発ベンダーやSIerで、テスター・プログラマーからPMまで約14年間担当していました。後述の通り、システム開発・管理をしながらサイバーセキュリティに首を突っ込む機会があり(約4年間)、その後サイバーセキュリティ職としてのキャリアをスタート。
現在はパーソルグループのプライベートSOC※でサイバーセキュリティにかかわる仕事をしておりますが、セキュリティ業務の特性上、業務の中身を公にできず、具体的な仕事の分野は割愛させていただきます。

※SOC・・・「Security Operation Center(セキュリティ・オペレーション・センター)」の略で、顧客または自己組織を対象とし、情報セキュリティ機器、サーバ、コンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行う組織のこと。

 

はじめに:日本で20万人も不足しているサイバーセキュリティ人材

皆さんは、数年前2020年の国内のサイバーセキュリティ人材が20万人不足するという推計があったのを知っていますか。すでに2020年を超えた今、実際にどれだけの人数が不足しているのか分かりませんが、サイバーセキュリティ人材で中途採用をしようとしてもなかなか人が集まらないというのはSIerでも事業会社でもよく聞く話ですので、今でも不足しているという状況は変わらないと思います。

一方、サイバーセキュリティ人材を目指そうといっても、一定のハードルの高さを感じられる方は多いと思います。が、私自身は最初からセキュリティエンジニアだったわけではありません。システム業界に就職してプログラマーからスタートし、いろいろやってからサイバーセキュリティ業界にたどり着きました。

そんな経歴でもあるので、システム開発とサイバーセキュリティで似ていること、違うことについて、私見を書いてみたいと思います。エンジニアとしてのキャリアでサイバーセキュリティに関心をお持ちの方の参考になれば嬉しいです。私はアプリケーション開発経験が長いので、例え話がそちらに偏るのはご容赦ください。

【SEとサイバーセキュリティの類似点】:攻撃者という「関係者」

画像2

まず、システムエンジニアのみなさま向けに、SEとサイバーセキュリティについてお話しします。

システム開発プロジェクトでは、ステークホルダーという用語で表現する『関係者』がたくさん居ますよね。同じように、サイバーセキュリティでは、関係者という意味では攻撃者も範囲に入ってきますステークホルダーと言う単語を当てはめるのはどうかと思いますが)。

ただし、当然ですが良好な関係を築くことはできませんし、必要もありません。ですが、何が目的なのか、何が目的でこんなことをやっているのかを解き明かす必要があるという意味では、要件定義で考えることと変わりないと言っても良いと思います(言い過ぎですかね?)。

システムエンジニアとして働く中で、上流フェーズで顧客の要件が曖昧でなかなか進められないという思いをした人も居ると思います。このように「相手の考えが良くわからない」、ということはサイバーセキュリティでも起こります。

実際、攻撃の痕跡と思われるログの中には、何を目的としているのかよく判らないものもあります。ですがそれを、脆弱性情報や、アプリ開発の知識、攻撃の進展段階に当てはめてみたりすると、見えてくるものがあったりします。(ここは、サイバーセキュリティとしての専門性を求められるところです)

一方、違いとしては、要件定義では顧客に貢献するためにその目的を探りますが、サイバーセキュリティでは攻撃者の目的を阻止するためにその目的を探るという点です。当然といえば当然ですね。

こういった、よくわからない行動を発見して、切り分けして、分類して、仮説検証して……。この探るという作業が面白い、興味が持てると思えるなら、それはサイバーセキュリティでも活きてくると、私は思います。

 

IT技術者とサイバーセキュリティの類似点】攻撃者も、使って(悪用して)いるのはIT技術

画像4

<用法次第で毒にもなる薬と同じですね>

IT技術と一口に言っても幅は広いですので、ここではアプリケーション分野に絞って話を進めます。

攻撃者が使うのもIT技術――、何を当たり前のことを、と思われるでしょうが、この点が、IT業界からサイバーセキュリティ業界にキャリアチェンジした私が感じる一番大事な部分だと思っています。

攻撃者の中にはマルウェアを買って攻撃に用いる(つまり技術にそれほど明るくないと思われる)人もいますが、マルウェアがプログラムで動いていることに変わりはありません。それは、システム開発で用いるのと同じプログラムです。

何が言いたいのかというと、サイバーセキュリティ業界は、システム開発からかけ離れた、何か特殊な知識だけで成り立っている訳ではない、ということです。

もちろん、プログラムの使い方や目的、求められる知識の深さには違いがあります。例えば、普通のプログラマーならバグは嫌がるでしょうが、攻撃者はそれを理解して使いこなします。攻撃者はプロラムのバグ(攻撃に悪用できるバグは脆弱性と言います)や、設計上の穴を見つけ、時には強引な手段に出る。攻撃者はそのためにIT技術の知識を活かし、悪用します。

もう一度書きますが、攻撃者が使うのもプログラム言語などのIT技術です。だとしたら、システム開発で培ったノウハウも生かす道はあるはず。

これが、私がサイバーセキュリティに携わる上での原点の1つです。

 

【サイバーセキュリティ職を目指す1】得意分野を作ろう、活かそう

とは言え、攻撃者が使う技術は、大雑把に言っても、アプリケーション分野(ざっくりプログラム言語も含むものと捉えてください)だけでなく、インフラ分野、ネットワーク分野など、多岐に渡ります。つまりアプリケーション分野だけ知識があっても、全ての攻撃に対応することはできません。

そうなると、「自分にはサイバーセキュリティは無理だ」「太刀打ちできない」……と考えたくなります。ですが、システム開発でも、上に書いた3分野の全てに詳しい人材はそうそう居ません。1分野でも得意分野を作り、それを強みとする。あらゆるIT領域で言われていることですが、これはサイバーセキュリティでも言えることだと思います。

それから、例えばプログラミングをされている方なら、ただプログラムするのではなく、どうすれば効率的に処理させられるか、バグに繋がる考慮漏れが無いかなどを深く考えてみる。このような何かを追求する姿勢はプログラミングを理解するのに役立つだけでなく、それを逆手にとる攻撃者の思考を読む訓練になり、サイバーセキュリティへの応用につながると思います。

 

【サイバーセキュリティ職を目指す2】サイバーセキュリティ人材としての経歴を作ろう

画像4

これまでのスキルを活かして、サイバーセキュリティをやってみたい!…と言っても、実際にはなかなか実現しづらい面があります。やはり、何かサイバーセキュリティに関する実績を作る必要があるでしょう。

私の場合、運良く(いや、悪いのかもしれませんが)、関わっていたシステムが攻撃されていることが発覚し、その調査に携わる機会(主にログによる不正ログイン調査)がきっかけとなりました。自己紹介で「システム開発・管理をしながらサイバーセキュリティに首を突っ込んで(約4年間)」というのがその時期にあたります。

とはいえ、運用中のシステムで、攻撃される状況を意図的に作り出すようなことは、皆さんがSEやプログラマーであれば当然、やるべきではありません。笑 そのため、環境が許すなら、運用中のシステムのセキュリティ強化を名目にセキュリティ対応を引き受けてみるというのは一つの策かと思います。

また、サイバーセキュリティのコミュニティやイベントに参加してみるというのも良いと思います。知識も増えますし、知り合いや仲間もできます。サイバーセキュリティ業界では、横のつながりは大切な財産になります。私の場合、仕事上で知り合ったサイバーセキュリティ業界の方から交流が増え、勉強会などに参加するようになりました。

 

おわりに

サイバーセキュリティ人材にも様々な経歴の人がいます。大学で専門に学んだ人もいれば、私のようにSEや開発に従事していた人、ネットワークを専門にしていた人、インフラを専門にしていた人とさまざまです。一人で全ての領域をカバーするのは難しく、そういった人たちと協調して対応していくことが大事になるのだろうと、私自身は考えています。

いろいろ書いてきましたが、最後にもう一つに重要なのは、やはりこれでしょう。

サイバーセキュリティに興味があるか、やってみたいか。

技術がどうとか、年齢がとか悩むことは色々とありましたが、結局のところこれがあったから、筆者もサイバーセキュリティ職を目指しました。

もしこんな気持ちがあるのなら、あなたもぜひチャレンジしてみてはいかがでしょうか。