セキュリティはじめました

はじめに

2023年2月に転職し、社内セキュリティ部署のSEになりました。セキュリティについてはまったくの初心者なので、入社してからの成長記録を残そうと思います。

入社前の知識

42Tokyoという世界各地に拠点がある完全無料のエンジニア養成スクールに所属していました。

42Tokyo在学中にmercariのエンジニア養成プログラムで半年間 Web開発を学び、前の会社に入社。前職では、社内の独自システム（ネットワーク、CG関連）を触っていました。

低レイヤー

• C,Makefile,Gitを使ってCLIのプログラム実装
• Linuxの標準ライブラリやshellの再実装
• システムコール、メモリ管理、プロセス管理
• CPUの作り方
• アセンブラ

Web開発

• TwitterのようなLogin/Logout機能、CRUD機能のあるアプリケーション開発
• Github, Gitによるバージョン管理
• Rubu on Rails, PHP, Javascript

クラウド・コンテナ

• AWS EC2
• Docker
• Kubernetes

その他

• Blender, 3dsmax (3DCG)
• Atcoder (競技プログラミング)
• picoCTF (競技ハッキング)

42tokyoでは、お互いに作ったプログラムを壊しあう（チェックしあう）というのがあって、１つの課題につき、ランダムな他の学生３名のチェックを通らないとクリアになりません。
自分が作ったプログラムに想定外の値やありえない値を突っ込まれることが多く(ファジングという)、変な値が入っても大丈夫なように書き直す作業に苦戦するのはとても良い経験だったなと思います。

１ヶ月目 〜 ２ヶ月目

セキュリティの知識の土台作り

セキュリティに必要な知識は、技術だけではなく、マネジメント・監査等までかなり幅広いので、全体像の把握を目標として、網羅的に用語を覚えました。
ISMS・Pマーク関連の仕事もあるので、個人情報保護法やISMSの知識も身に付けました。

いままで関わったことがなかったため、法律やマネジメントについて理解できるか不安でしたが、以外と大丈夫でした。法律特有の言葉は難しいですが、基本的な考え方が身についていれば試験自体は簡単でした。（とはいっても3週間、平日夜と土日はずっと勉強してました）

やったこと

• 個人情報保護士認定試験　合格
• ISO/IEC27001:2022の研修
• LACのセキュリティ研修一式
• 個人情報保護士　合格講座
• セキュリティマネジメント過去問

読んだ本

• 出るとこだけ！　情報セキュリティマネジメント　テキスト＆問題集
• 個人情報保護士認定試験　公式精選過去問題集
• 個人情報保護士認定試験　公式テキスト

セキュリティマネジメント試験は、ISO/IEC27001を読み込む＆過去問をやることでISMSの苦手分野を克服し、9割取れるようになってきました。評価のタイミングで受験することにしたのですが、監査や法律部分が弱いので復習が必要そうです。

LACの研修では、kali linuxで解説しているものがあって、触ってみたい！とテンションが上がりました。

３ヶ月目

暗号技術の知識の強化

ゆくゆく安全確保支援士やCISSPに合格することを目標にしているので、「副読本」と呼ばれている本を読み始めました。

合格体験記等を色々読むと、テキストだけではなく、暗号技術とネットワークについて知識の補充をする必要があるみたいです。

安全確保支援士の午前Ⅱの過去問は、50～60％で、まだまだ受験できるレベルにありません。午後Ⅰの応用情報対策も、一番難しい午後対策もまだ出来ていない…

やったこと

• セキュマネ過去問（9割取れるように！）
• 安全確保支援士過去問（50～60％）

読んだ本

• 暗号技術入門

数学ガールで有名な結城先生の本です。
DES、AES、DH鍵交換、PGP、ハッシュ、デジタル署名、デジタル証明書などの「用語は知ってるけど詳しくは知らない」知識が補強されたので良かったです。
全体を通して目的や流れがわかりやすく、最後のまとめも素晴らしかったです。また読み返します。

４ヶ月目（5月）

ネットワーク（TCP/IP）の知識の強化

ネットワークの知識が不足しているので、「マスタリングTCP/IP」で知識を強化することにしました。ネットワークはセキュリティを学ぶうえで一番大事な土台であるため、しっかり身に着ける必要があります。

ハードニング参加

ハードニングの大会に参加しました。ハードニングというのは、セキュリティの「守り」にあたる競技で、与えられたシステムを攻撃から守るという内容になっています。
今回はチームに1つ「お買い物サイト」が与えられ、クローラーによって自動的に「購入」と「攻撃」が行われる中、売り上げを競います。

購入者をブロックしないように、攻撃者によるサイトの改ざんやシステムダウンを防ぎ、実際に改ざんやシステムダウンされてしまった場合は復旧することが求められます。

チームの強いエンジニアがパケットやログを見て「バックドアが置かれた」「侵入された」などと瞬時に判断しているのを見て憧れました。
実際に触って攻撃されるという貴重な体験が出来、非常に勉強になりました！
参加させてくれた会社（部長）には感謝しかないです。

やったこと

• 初マイクロハードニング参加
  • hardening-designers-conference-2023-generatives

読んだ本

• マスタリングTCP/IP
• 図解入門　TCP/IP

９ヶ月目 (10月)

情報処理安全確保支援士受験

過去問を解くよりも一回受けてみた方が得るものが大きいのではないかと思い、記念受験することに。この時期はかなり業務が忙しかったため全く勉強する時間が取れなかったのですが、午前だけ受かることを目標に2年分の過去問を解いて臨みました。
結果、午前I午前IIは合格してしまい、午後も数点で落ちるという成績だったので、ちゃんと勉強していたら受かっていたかもと後悔・・・
次回はしっかり勉強して合格したいと思います。

セキュリティマネジメント受験

5月くらいに満点近く取れるようになって放置していたセキュリティマネジメントに合格しました。

1年目(1月)

CISSPの学習をはじめ、途中で放置する

自分の前に中途で入社した人がCISSPを1年で取得したそうなので、頑張れば1年目でもとれる資格だと思い、12月の終わりにCISSPの勉強を始めました。
お正月にCISSPの公式問題集を解き、同時にudemyのPEDPINのCISSP動画を全部見ました。
1周目でも7割程度は取れていたので、近いうちに受験できるのでは？と思ったのですが、先輩からいただいた本番の試験に近いと言われている問題セットを見てやる気消失。

そんなこんなで新しい試験問題になるようなのでしばらく様子見かなと思います。
→　追記：仕事が忙しくなりそうな予感がしたので取得しました（2024/4）

あとがき

あっという間に1年経ってしまいました。未知のセキュリティ業界に飛び込んでみましたが、とても楽しく仕事＆学習が出来ています。

セキュリティは目的がはっきりしている分野なので、技術を学ぶ上でかなり良いモチベーションとなっています。ネットワーク、Web、クラウドなど、すべてに対して求められるのがセキュリティなので、幅広い知識が自然に身に付くのも良い点だと思っています。

引き続きモチベーション高く頑張っていきたいところです。