はじめに
私はとある事業会社で主にCSIRT、時々PSIRTを担当しています。そして採用にも関わっており、書類選考や一次面接も担当しています。多くの選考を行う中で、転職エージェントさんや応募してくる方とのギャップを感じることがあるため、こういう人材が欲しいですという記事を書いてみることにしました。
なお、本記事は会社の公式見解ではなく、一担当者の個人的な見解に過ぎません。選考通過の確率は多少上がるかもしれませんが、採用をお約束できるものではありません。
自社に限らない内容を可能な限り記載していますので、事業会社でセキュリティをやりたい人全般に役に立つと思います。また、私は過去にセキュリティベンダーでも同様に採用に関わってきましたので、セキュリティベンダー志望であっても役に立つことは多いと思います。
求める人材
セキュリティ分野の実務経験者
実務経験があり、CISSPを含む様々な資格を取得済みで、セキュリティ戦略から実装までできて、経営者から現場まですべてのステークホルダーとのコミュニケーションができる人が理想ですが、そんなスーパーマンはそうそういないことはもちろんわかっています。そのため、何らかの分野に精通している人を優先的に求めたいと考えます。
例えばペネトレーションテストに精通している人であれば、社内でレッドチームとして脆弱性を発見したり、設定の不備を発見したりといった活動ができそうです。フォレンジックやマルウェア解析ができる人であればセキュリティインシデント発生時の対応をお任せできそうです。また、どちらの分野であってもブルーチームとしてセキュリティ対策の推進をお任せできそうです。もしセキュリティコンサルであれば、ポリシーの策定や経営層への説明、他部門との調整をお任せできそうです。これらの分野のご経験がある方はしっかりとアピールすればスキル面では特に問題ないと思います。
ただし今そのスキルがある人を募集しているかどうかと、その会社の文化に合うかという別の問題はあります。こればかりはご縁なのでダメだったら諦めてください。
セキュリティ分野の実務経験がない人
セキュリティ分野の実務経験がなくても、何かしらのIT分野の実務経験がある人は候補に入ります。この場合に必要なのは大きく2つです。
- セキュリティ分野以外の実務経験をしっかりとアピールする
これは開発、運用、サポートなど何でも良いです。開発や運用はそれぞれセキュリティ分野と直結しますし、サポートの経験がある人は他部門との交渉に強いことが想定できます。いずれの経験もセキュリティ分野では役に立つと思います。またプロジェクトマネジメントの経験やリーダ経験のような汎用的なスキルも役に立ちます。 - セキュリティ分野への興味をしっかりとアピールする
〇〇をやりたいとアピールできるだけでなく、実際に何かを学んでいますとアピールしましょう。Hack The Boxを週に1つ攻略しています。でも良いですし、CompTIA Security+、CISSP、情報処理安全確保支援士などの資格取得のために勉強しているでも良いと思います。他、CTFに参加している、セキュリティイベントに顔を出しているなどでも良いです。また、情報収集はしっかりと行ってください。最近のセキュリティインシデントや脆弱性については必ず面接で聞いています。
※セキュリティイベントについては以下のGoogleカレンダーで概ね網羅されています。
※資格については以下の記事にまとめています。
セキュリティ分野の実務経験がないと非常に不利になるかというと私はそうは思いません。私のように15年間以上セキュリティ一筋という人は開発や運用の経験がないので現場でやっていることの理解が浅いです。実際にセキュリティ対策を実装するのは開発や運用を行っている現場になるので、これらの知識があることはむしろプラスだと考えています。
書類選考でのポイント
とにかくセキュリティに対する熱い思いを書いてください。
- 〇〇という脆弱性が好きだ!愛している!
- バグハントが3度の飯より好きだ
- フォレンジックさえやっていれば後は何もいらない
- セキュリティインシデントが好物だ
- マルウェアのコードは美しい
- パケットを見るだけで攻撃者グループを当てられる
などです。ただしこのレベルの変態人はセキュリティベンダーに行くことをお勧めします。一部のセキュリティベンダーは高い給料とともに歓迎してくれると思います。
そこまでいかずとも、
- 〇〇を見てハッカーに興味を持った
- 実際にMetasploitを使ってシェルを取った時に感動した
- 実際にマルウェアを動かしてみて興味を持った
くらいのレベルでも全然問題ありません。何かしらのきっかけがあって行動していることが重要です。
面接でのポイント
履歴書や職務経歴書に書いてあるセキュリティに対する熱い思いを私にぶつけてください。この人と一緒に仕事をしたいと私に思わせられたら私は通過判定をしたいと思っています。スキルはあるに越したことはありませんが、それよりも熱意の方が遥かに重要だと思います。
私が面接でよく聞くポイントは以下のとおりです。質問は業務経歴書を見て都度変えているので、以下以外を聞くことも多いです。
- ペネトレーションテストやインシデント対応などが業務経歴書に記載されている場合、どういった案件だったかを聞きます。言える範囲で構いません。「金融系のお客様にペネトレーションテストを提供して、結果としてあるサーバへの侵入に成功した。」のようなレベル感で答えてもらえると良いです。必要に応じて具体的な手法を質問すると思います。
- 最近の気になるニュースを聞きます。セキュリティインシデントや危険な脆弱性など、新しいマルウェアなど何でもOKです。ぜひご自身の好きな点を存分に語ってください。
- GETとPOSTの違いは?SSOとは何か?といった基本的なITスキルを問う質問をします。ただし全部答えられなくても良いと思います。場合によってはかなり広範囲(OS、ミドルウェア、Webアプリ、ネットワーク、セキュリティマネジメント等)に渡って問うので、7割くらい正答できれば十分かと思います。わからなければわかりませんと言って大丈夫です。
- さらに少し深い質問をする場合もあります。フォレンジックの経験があれば、「プログラムの実行痕跡が残るアーティファクトを複数挙げてください」と聞きますし、マルウェア解析の経験があれば、「ファイル操作を行うWindows APIを挙げてください」、ペネトレーションテストの経験があれば、「Linuxサーバでシェルを取った際に使う情報収集スクリプトを挙げてください」や「XSSによる影響を挙げてください」などです。これらの質問も7割くらいの回答ができれば十分です。
- もしセキュリティベンダーの特定の職種に応募している場合は、この深い質問に確実に回答できる必要があると思います。十分な経験があれば基本的には問題ないと思いますが、もし半分も答えられなかったという場合は(少なくともその会社の基準では)実力不足です。知識不足を補うために資格の勉強をしたり、CTFなどで腕を磨く必要があるかと思います。
- セキュリティ分野が未経験の場合は、なぜセキュリティ分野に興味を持ったかを聞きます。きっかけはなんでも構いません。大事なのはきっかけがあり、そこから何かしらの行動をしていることです。
おわりに
私の所属に関しては少し調べれば推測できると思います。ご応募お待ちしております。
また、事業会社ではなくセキュリティベンダーを志望するという方も上記はほとんどそのまま使えると思いますのでご活用ください。
ご質問がありましたらお気軽にコメントください。
XのアカウントにDMを送っていただいても構いません(その場合はフォローリクエストを送ってください。怪しいアカウントかどうかチェックの上承認します)