サイバーセキュリティ領域で生き抜くためのキャリア論

キャリアって何だ？

自分らしい強みを活かし、蓄積することで、到達するありたい姿

• Will：何がしたいのか
• Can：何ができるのか
• Must：何を求められているのか

スキルの寿命は短くなり、キャリアの形成期間は長期化の傾向にある。

---

自らのキャリアアンカーを知る

長期的な方向性の道しるべとして「キャリアアンカー」を活用する。

エドガー・H・シャイン（Edgar Henry Schein）博士によって提唱されたキャリア理論
築き上げてきたキャリアに基づいた、生涯にわたってぶれない自己欲求・または自己が望む価値観
まずは「セルフアセスメント（40問）」を実施し自分のタイプを把握しておく
8つの分類（専門・職能別 / 全般管理 / 保障・安定 / 起業家的創造性 / 自律と独立 / 社会への貢献 / ワークライフバランス / 純粋なチャレンジ）
※注意：8つの分類とは違うキャリアアンカーを持つ人もいます。

• キャリアアンカー診断結果（私の場合…）：
  　専門・職能別コンピタンス（TF：Technical / Functional Competence）
  　　　　何事も専門的な立場を重視して判断し行動する。専門家タイプ

---

よきキャリアを築くための条件

• Will / Can / Mustの良きバランス
  したいこと、できること、期待が揃った状態
  知識・技能・心得が揃った状態
• Mustが大きすぎるキャリア
  組織が掲げる「パーパス（志）」との不一致
  知識・技能・心得が満たされない環境
• Willが大きすぎるキャリア
  自らの知識・技能が不足している

---

ドーパミンを分泌させキャリアの財産を築く

• マインドセットを高める
  　「自己効力感（Self-efficacy）」：目標達成したり、遂行できる可能性
  　　　　必ずしも成功を意味しない。失敗からも得られることがある
  　「自己肯定感（Self-esteem）」：物事を成し遂げたという実績と実感
  　　　　小さなステップを踏んでいく

---

財産（社会的証明 / 仲間 / 健康 / 知恵）を築く

• 社会的証明（Social Proof）
  　周囲の声や社会的評価を参考にしながら、自らの判断の妥当性を測る心理傾向
  　さまざまなチャネルを横断し、時間とともに成熟させることができる
  　「錯覚資産」　, ふろむだ「人生は、運よりも実力よりも「勘違いさせる力」で決まっている」
• エンジニアのクチコミプラットフォーム
  　Qiita, GitHub, Twitter, YouTube, Instagram, Facebook, Docswell
  　コミュニティ活動（connpass）　
  　副業実績（クラウドワークス, ランサーズ, ココナラ, Udemy）
  　　　　マーケットプレイス（BOOTH, SUZURI）

---

蓄積すべきキャリアの財産

短期・中期の目標としてストックすべきキャリアの財産を明らかにしておく

• マインド：変化に対して前向きでありつづける
• 社会的証明：発信力・共感力・影響力
• 仲間：助け合って知を生み出していく
• 健康：失ってはじめて気づく、あって当たり前のものではない
• 知恵：
  　専門性：専門領域における知識と幅広い経験の日々アップデート、100万分の1の希少性
  　リベラルアーツ：洞察力、実現力、指導力、倫理観・人間的魅力

---

インプット・アウトプットをロギングする

モチベーションを維持し、高めていくための指針
振り返りを行うことで、学びを得る。次のステップへと向かっていく
日頃の準備、「素振り」を忘れない、ここぞという時のチャンスを逃さない

• 職務経歴書（リクルートダイレクトスカウト, ビズリーチ）
• ポートフォリオ（Qiita, note, GitHub, researchmap, Wantedly, RESUME, LinkedIn, Docswell）
• マンダラート（ポケットマンダラ, マンダラート発想法）
• 習慣管理（DotHabit – 習慣・目標・日課の管理）
• 時間管理（Toggl Track）
• ToDoリスト（ToDoリスト リマインダー付き買い物リスト&やることリスト）

---

リフレクション（内省）の考え方

「やったこと -> わかったこと -> 次にやること」をストーリーにして、教訓を重視する。
How より Why、問題解決はほどほどに。単発より継続を。

• 経験学習モデル（経験 -> 内省 -> 概念化 -> 実践）
• 日本能率協会コンサルティング, YWT（やったこと・わかったこと・次にやること）

---

キャリアに悩んだときの心の良書

• 『完本 万川集海』, 藤林保武(著) / 中島篤巳（なかしま あつみ） (翻訳)
• 『孫子 (戦略論大系)』, 杉之尾宜生（すぎのお よしお）
• 『現代語訳 論語と算盤』, 渋沢栄一(著), 守屋淳（もりや あつし）(翻訳)
• 『コンピュータ・セキュリティ：犯罪対策と災害対策』, Donn B Parker

---

キャリアの社会的証明

• 発信力
  　コミュニティに対する貢献（利他の精神：他者に奉仕する）
  　ノウハウの体系化
• 共感力
  　他社と共感し折り合いをつけていく能力, 違いを尊重する
  　新世代との「青銀共創」（青：若者、銀：シニア）時代のサイバーセキュリティ
• アウトプット（私の場合…）：
  　『すぐ貢献できる！偽サイトの探索から通報まで』
  　『フィッシング詐欺のビジネスプロセス分類』
  　『「シリアスゲーム（Serious Game）」作りを考える』
  　『セキュリティ専門家 人狼』
• セキュリティカンファレンスでの発表（私の場合…）：
  　Anti-Phishing Working Group, フィッシング対策協議会
  　一般社団法人 情報処理学会
  　サイバー犯罪に関する白浜シンポジウム, 情報セキュリティワークショップin越後湯沢
  　総関西サイバーセキュリティLT大会, IoTSecJP

---

初心者を免罪符にして語るな

• 初心者を名乗り続けることは「スマーフ」、「ブースティング」などオンラインゲームにおける迷惑行為と同じ
  　スマーフ（Smurf）：強い上級者がサブアカウントを作成し「初心者狩り」や低レベル帯でランクを行うプレイ
• 実力の近いプレイヤーと切磋琢磨することで実力を上げていく
• 自分の実力を的確に把握し、レベルを高め、世界で通用するプレイヤーを目指す
• ミスや勘違いを恐れない、マサカリが来たら受け入れて対応すれば良い。知らないことを知らないと言えるのがカッコいい
• スキルレベルの指針
  　エントリー：情報技術に携わる者として最低限必要な基礎知識を有している
  　ミドル：プロフェッショナルとなるために必要な基本的知識・技能を有している
  　ミドルハイ：特定の専門分野確立を目指し、プロフェッショナルとなるために必要な応用知識・技能を有している
  　ハイ：プロフェッショナルとして求められる経験の知識化と後進育成に貢献している

---

サイバーセキュリティの専門性を支える教養

1. 『コンピュータシステムの理論と実装』（Nand2Tetris：論理回路からプログラミング言語まで実際に実装してみる）
   　LTSpice, SimcirJS, Circuit Simulator Applet, Tinkercad
2. Linux File Hierarchy Standard
3. プログラミングの基礎知識（FizzBuzz問題, Echo server（ソケット通信）, Port Scanner, Fuzzer…）
4. 数学知識（四則演算、指数関数、対数関数、三角関数、ベクトル、複素数、微分・積分）
5. データアナリティクス（Splunk - SPL言語, Neo4j - Cypher QL / Maltego）
6. 『日本の防衛: 防衛白書』, 『内外情勢の回顧と展望』公安調査庁（経済安全保障, 地政学リスク）
   　「ビジネスと人権に関する指導原則（Guiding Principles on Business and Human Rights）」
7. 検証環境（VMWare, Docker, クラウド, GNS3…）の構築
   　安全に失敗できる環境を用意する
   　ネットワーク実験室の構築（macOSへGNS3の導入）

---

IoT編 - ハードウェアにも強くなる

• 分解してみる
  　分解したガジェットをフレームに並べれば現代アートになり得る（GRID STUDIO）
• 電気・電子工作（Raspberry Pi, Arduino, Teensy, IchigoJam, FPGA Boards DE10-Lite）
  　Homemade Hardware Keylogger
• 無線（アマチュア無線技士, RTL2823U, HackRF One, ソフトウェア無線（SDR）, GNU Radio）
  　FMラジオ、テレビ、スペクトラム・アナライザを自作する
• 工作・計測技術（3Dプリンター、マルチメーター、オシロスコープ、ロジックアナライザ…）
  　Original Prusa i3 MK3S+
• 分解・解析ツール
  　IoTSecJP, IoT調査に便利な物品
  　ThousanDIY(Masawo Yamazaki), 分解・解析に使っているツール

---

サイバーセキュリティのキャリアパス

• 国立標準技術研究所（NIST）「CyberSeek」
• 米国 サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）「Cyber Career Pathways Tool」
• 日本サイバーセキュリティ人材キャリア支援協会（JTAG）「IT総合能力診断サービス VisuMe」
• 日本ネットワークセキュリティ協会（JNSA）「セキュリティ知識分野（SecBoK）人材スキルマップ」
• 独立行政法人情報処理推進機構（IPA）「ITSS+（プラス）」
• 独立行政法人情報処理推進機構（IPA）「「情報セキュリティ人材の育成に関する基礎調査」報告書」
• 日本シーサート協議会（NCA）「CSIRT 人材の定義と確保」
• FIRST「Computer Security Incident Response Team (CSIRT) Services Roles and Competencies Version 0.9.0」
• CompTIA「ITのキャリアパスと計画ツール」
• Paul Jerimy Media「Security Certification Roadmap」

---

今後の働き方

• アフターコロナにおける変化：社会全体で他者の視点に立つ能力が向上している（リモートワーク）
• 組織に依存しすぎることなく、自分の軸をもつ
• 「リカレント（Recurrent）」（必要なタイミングで教育機関に戻り学び直す）
• 副業・兼業：時間の切り売りは避ける。経験やスキルを積み上げる。
  　ストック型ビジネス（「自分ならでは」の経験を体系化し教える系ビジネスに挑戦）
  　高知工業高等専門学校 ソーシャルデザイン工学科 サイバーセキュリティ実務家教員（副業先生）
  　Udemy ベストセラー講師
  　「リスキリング（Reskilling）」（これから必要となる職業能力を再開発）するきっかけとなる
• 報酬目的だけでなく本業と同じように取り組む活動, ボランティアではなくプロボノ
  　プロボノ：「公共善のために」を意味するラテン語 pro bono publico を語源、仕事で培った専門的なスキル・経験等を活用して行う社会貢献

---

社外活動

「x枚目の名刺」で社会課題を解決（私の場合…）：

• フィッシング対策協議会 運営委員
• 警察庁 サイバーセキュリティ政策会議 委員
• 一般財団法人日本サイバー犯罪対策センター（JC3） 事務局員
• 一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム CIBOK執筆者
• 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA） 教育部会 - ゲーム教育WGメンバー
• デジタル・フォレンジック研究会 DF資格認定WG メンバー
• 誰でも応募することが可能な社会活動
  　情報処理技術者試験・情報処理安全確保支援士試験 試験委員（2015年6月 - 2021年5月）, 募集：2021年2月12日に終了
  　高知工業高等専門学校 副業先生（サイバーセキュリティ実務家教員）, 公募：2021年8月16日に終了
  　商業出版 執筆者, 技術書典
  　Udemy ベストセラー 講師, 講師になる方法

---

成し遂げたいこと

優秀なエンジニアを安定的に再生産していくこと が社会課題

• SDGs目標4. 質の高い教育をみんなに
• 持続可能な開発のための教育（ESD：Education for Sustainable Development）

図. ESDはSDGs17の全ての目標実現の鍵（出典：文部科学省）

---

Udemy 講師としての活動

2021年6月23日 に講師デビューし 330日目にて受講生 2,000名 超えを達成
3つのコースをリリースし、いずれも ベストセラー バッジ（Udemyにて、類似するコースの中で最も購入されているコースとの認定）を獲得

• 【はじめてのフラグ獲得】Boot2Root CTFチャレンジで学ぶハッキングの手口とローカル特権昇格
• 【はじめてのフラグ獲得】Boot2Root CTFチャレンジで学ぶハッキングの手口とWordPressの堅牢化
• 【はじめてのバグバウンティ】ホームネットワークデバイスで学ぶファームウェア解析と組み込みLinuxのセキュリティ

関連記事

• Udemyコースのリリースから30日間の記録
• 今後のUdemyコース制作（サイバーセキュリティ領域）についてアンケートを取った結果
• 【教授法】CompTIA CTT+資格取得で「教える技術」を身につける

---

本スライドについて

本スライドは #QiitaHITACHI 共催イベント「Social Tech Talk #03」における技術セッション「セキュリティ人材のキャリアトーク」に向けて用意したものです。

【開催日時】2022年6月15日（水）18:00〜21:00
【主催】株式会社 日立製作所・Qiita株式会社
【参加費】無料
【形式】オンライン
【イベント詳細】connpass『【Qiita×HITACHI】Social Tech Talk #03』
【Twitterモーメント】https://twitter.com/i/events/1536528778716778496

イベントレポート

• Qiita Zine, エンジニアのキャリアと生存戦略を考える。日立製作所主催「Social Tech Talk #03」イベントレポート, 2022/09/02
• Zeen, 【Qiita×HITACHI】Social Tech Talk #03 参加メモ, , secwork