文系大学1年生でもセキュリティに取り組める — インターン／Bug Bounty／CTF 編

この記事では、文系大学１年生でも、どのような判断と行動を積み重ねれば、セキュリティ分野で実務につながるのかを、1年間の失敗と試行錯誤をもとにまとめます。
　
正直、成功談というより、「通らなかった話」「うまくいかなかった話」割と多めです。

前置き

こちらの記事は、下記の続きです。
もし見ていない方がいれば、ご参考になればと思います。

1. 自己紹介

簡単に自己紹介しておきます。

• 駒澤大学 グローバル・メディア・スタディーズ学部 1年
• Komatech プログラミング研究会に所属
• 2社ほど、某セキュリティ会社でインターンしている
• CTFやTryHackMe, HackTheBox, Web Security Academyをやっていた
• バグバウンティで何回か報酬金をもらったことある
• 個人的にdrawioと脆弱性診断結果レポートを使ったリスク優先度推定システムの研究開発をしている
• 創作活動を活性化させるためのプロジェクトである「藝苑祭」のWeb開発・運用をワンオペでやっていた
• サークル内部向けに教育制度を0円でメンター制・教材監修の仕組みを作った

2. これまでの経歴

上記の記事を書いた後に今年１年は、多くの経験をしました。

4月~5月

• SecHack365の開発駆動コースに、
  「AIで自動生成したインジェクションペイロードによるファジングツール」の落選
• セキュリティ・キャンプ2025の全国大会のCクラスの書類選考落ちた
• 確か、この時期にHackTheboxでHacker Rankになった気がする

6月

• 某セキュリティ会社様の27卒向けのサマーインターンあったので、29卒で出したところ受かる
• セキュリティ・キャンプミニの東京会場のBトラックに受かる(三重に続いて２回目)
• 同時にQiita × FastDOCTOR Health Tech Hackathonにも受かった
• 同時に同じ大学の法学部の子にWeb開発を教える
• セキュリティキャンプコネクトに自分が落ち、法学部の方が受かった

7月

• 藝苑祭 Version 1.0のWeb開発・運用をしていた
• SECCON Beginner CTF 2025で突然組んだチームが解いた13問中6問を自分がフラグ取得

8月

• Qiita × FastDOCTOR Health Tech Hackathonでチーム開発した
• セキュリティキャンプミニでフォレンジックを学んだ
• 某セキュリティ企業様のサマーインターンでたくさん学んだ
• 別の子にもWeb開発を教えた

9月

• P3NFEST Bug Bounty 2025 Summerで4件の報酬金をもらった
• FFRI × NFLabs. Cybersecurity Challenge 2025で26位ぐらいだった
• 藝苑祭 Version 2.0でセキュアなWebを作った
• とある医療系のIT企業にインターンを出すが、落ちる
• サークル内部向けの教育制度も作った

10月

• 学園祭で出し物をやろうとするが、体調不良で中止
• LINE CTF 2025に出るが全滅
• 別の某セキュリティ会社様に興味が湧き、面談してみる
• SecHack365を目標に個人研究を始める
• HackerOneも始める

11月

• 総務省CTFも出たが、そこまで良くなかった
• Web Security Academyのラボを8割近く解いた
• 某セキュリティ企業様の長期インターンに採用された
• 個人研究のプロトタイプが完成した
• Global Cybersecurity Camp 2026 Vietnamも出したが、ダメだった

12月

• 長期インターンが始まった
• SECCON CTFの予選にも出たが惨敗

　
(こんな経歴でも、何故、長期インターンに行けたのかがわかりませんが、大変感謝しています。)

3. 文系でセキュリティを独学したメリット

一応、大学受験で文系科目(英語・現代文・政治経済・古文)を使ったため、独学で高校数学を勉強していたが、ほぼ文系です。
ただ、メディア情報学の分類ではあるため、情報系ではあるのですが、コンピュータサイエンスほどの情報学部かと言われるとどうなのかなと、思っています。
　

自分が文系大学生で良かったことは以下だと思っています。

1. 理系の大学ではないため、割とゆるい
   →セキュリティを独学で勉強できる時間が多いです。
   　
2. 色々理系分野を自分の持ち物として企画に出しやすい
   →理系の大学でないため、プロジェクトをするときにセキュリティやコンピュータサイエンスの知識があると割と新規性が学内で作りやすいです。

4. 文系でセキュリティを独学したデメリット

多分、メリットより圧倒的に多いです。

1. CTF仲間がいない
   →自分がコミュニティを作って教育からプロジェクトまで全部作る必要がある
   　
2. ゼミ選びで苦戦する
   →セキュリティの研究室がないため、なんとか探り出して選びましたが、絶対理系の方が頑張れます。
   　
3. 学内にセキュリティを話せる人がいない
   →ここが正直、一番辛いです。
   　
4. 大学内だとセキュリティに関する企業やイベントの情報が入ってこない
   →ここも辛いです。自分で探しに行くか、セキュリティキャンプとかに行って、大学に届くようにするぐらいしかなさそうです。
   　
5. セキュリティの先輩や友達もできない
   →学内では確実にできないので、自分で生み出すか、外部に行くしかないです。

　
これらに関しては、自分で教育からコミュニティまで作るか、外部に出るぐらいしかないと思っています。

5. 高校生から独学で一貫して得られたこと

やっぱり、独学で全部やってきたので、それなりの持続力や集中力がつくのかなと思ってます。ただ、結局、興味だけで走ってきたので、参考になるのかがイマイチ自分でも分かってません。

6. 初学者やこれから文系でもセキュリティをやりたい人

やっぱり、興味だけで進むのが一番良いのかなと思っています。資格とかは一切取ってないので、やりたい分野から手を動かすのが良いと思います。

文系大学生でもいけるなら、多分、大丈夫です。

7. 来年の目標

来年は、これらを達成できるように頑張りたいです。

来年の軸は6つです。

1. 実務：長期インターンでの基礎力定着
2. 学業：大学の講義
3. 個人研究：リスク評価・可視化の個人研究を外部に出す
4. 大学での研究：AI×セキュリティに関するもの
5. 技術：Web/クラウド領域のオフェンシブスキル強化
6. 教育：教育制度の見直し

以下は、そのための具体目標です。

• TSG CTF 2025での上位ランキングに入る
• 長期インターン
• HackerOne
• P3NFEST Bug Bounty 2026 Springでバグ脆弱性の発見
• VulnHubでのホワイトボックス診断訓練
• AWSのオフェンシブセキュリティ
• CVEの発見
• TryHackMe・HackTheBoxの日本10位以内
• KLCP / OSWPの取得
• セキュリティ・キャンプ全国大会のBトラック(プロダクトセキュリティ)への合格
• 個人研究をもとに、SecHack365の研究駆動コース・開発駆動コース・学習駆動コース(社会実装ゼミ)への応募
• 車の免許
• 大学での研究
• SECCON Beginner CTF, SECCON CTF Qualsへのリベンジ
• できれば、登壇もやる

正直、自分は目標が多すぎると思います。

参考になるかはわかりませんが、これからもセキュリティを楽しくやろうと思います。