技術部のsakuraです。
今回のブログ記事は、「CDIで働くエンジニアに、オススメの勉強方法を聞いてみた」シリーズ 最初の記事です。
本シリーズを書くにあたっての経緯を、少しだけ説明をしたいと思います。
数ヶ月前に、セキュリティ若手の会に参加してきました。1
( 2025年03月16日に二回目の開催がされるようです。詳細はこちら )
このイベントの中で学生の方から、「勉強どうしたらいいですか?」といった質問をいただきました。
私は普段Webアプリケーションの脆弱性診断をしているので、「Webならこれがおすすめ」はあっても、違う分野の勉強教材は知りません。
ですが、幸いにも弊社には様々な分野が得意なエンジニアが在籍しています。
( Hardware、Binary Exploit、Web Exploit、RedTeam、Malware Analysis、OSINT、Forensic、Dev (開発)、Infra ...)
そこで、各分野が得意な方にいくつかの質問し、その回答をまとめることで、役立つ情報を学生の方々に提供できるのではないかと考えました。
今回の質問は、学生の方から頂いた質問をもとに、いくつか私が考えました。
質問内容は以下です。
- Q1: 普段の業務はなんですか?
- Q2: 学生時代何をやっていましたか?
- Q3: 現状の能力はどう培われましたか?
- Q4: 学生時代に何をやっておくと業務に入りやすいですか?
- Q5: 学び始めで、おすすめの教材はありますか?
- Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか?
- Q7: 新卒1年目〜新卒3年目までに望む能力はありますか?
業務内容を詳しく知りたいという方は、社員のインタビュー記事も参考になるかもしれません。
また本シリーズは、分野を以下のように分割して、4日に分けて記事を出します。2
- 1日目: Hardware, Web Exploit, RedTeam
- 2日目: Binary Exploit
- 3日目: Malware Analysis, OSINT, Forensic
- 4日目: Dev, Infra
本ブログ記事は、1日目のHardware, Web Exploit, RedTeam分野です。
それでは、現役セキュリティエンジニアの回答を見ていきましょう!
回答
Q1: 普段の業務はなんですか?
- 組込機器のリスク分析や脆弱性診断
Q2: 学生時代何をやっていましたか?
- バイクで走り回っていたり、経営学部の講義をサボって工学部に入り浸っていた
Q3: 現状の能力はどう培われましたか?
- 古いバイクの電装系を直す必要から電子工作を始めた
- 電子工作から興味本位でマイコンでのプログラムを学び始めた
- ゲームにハマってマイコンにキーボードのキー入力を自動化させてみた
- 気づいたら新卒で組込機器の開発会社に入り、CDIに転職した
Q4: 学生時代に何をやっておくと業務に入りやすいですか?
- 物を分解したり
- 法律を学んだり
- 身の回りのお金の流れを知ったり
- 本を読んだり
- ITに限らず、世の中の仕組みに興味をもってください。
- 就職する際、最初からセキュリティ屋になるよりは、一旦Web屋、組込屋、SIer等での開発経験がある方がよいと思っています。
Q5: 学び始めで、おすすめの教材はありますか?
- 私は数学があまりにできず、独学で勝手に学んだのでアドバイスできないです・・・
- アラフォーになって大学の学部1〜2年生の数学を学び直しているので、ハードウェアの分野ではきちんと工学部や理学部などで高周波設計や電子工学を学んだ人は強いなと思います。
Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか?
- 自分で物やシステムを作るのは良いと思います。
Q7: 新卒1年目〜新卒3年目までに望む能力はありますか?
- 学び続ける習慣を身につけて下さい。(IT、工学、法律、金融、数学、外国語、分野を問わず)
Q1: 普段の業務はなんですか?
- Webの脆弱性診断をやっています
Q3: 現状の能力はどう培われましたか?
- 業務を通じて培いました
Q4: 学生時代に何をやっておくと業務に入りやすいですか?
- コンピュータサイエンスに関する知識をつけておく
Q5: 学び始めで、おすすめの教材はありますか?
- 体系的に学ぶ 安全なWebアプリケーションの作り方(通称、徳丸本)
- Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する
Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか?
- 継続的に学習できれば何でも良いと思いますが、実際に手を動かすことが重要だと思います。
- HTB Academyなどの学習コンテンツを活用するのも効果的な方法だと思います。(とは言っても金銭的な負担が大きいので、自己学習に金銭的な支援をしてくれる会社に入社して、入社後に取り組むのも手だと思います。)
Q7: 新卒1年目〜新卒3年目までに望む能力はありますか?
- 実際に手を動かしてみること
Q1: 普段の業務はなんですか?
- Webアプリケーションの脆弱性診断
Q2: 学生時代何をやっていましたか?
- 専門学校に行きながら、(IT系ではない)バイトをしていました。
Q3: 現状の能力はどう培われましたか?
- CTF (笑)
Q4: 学生時代に何をやっておくと業務に入りやすいですか?
- コンピュータサイエンスに関する知識
- 私は今苦しんでいます。
- 最近は、Q5で挙げているようなリソースがたくさんありWeb Exploitは学びやすくなっていると思います。
- そこで気をつけてほしいのが、ペイロードを入れて挙動を知っただけで理解した気にならないことです。
- その挙動はなぜ発生するのか、その挙動によって何が出来て、何が問題になるのかといったことも理解しておくと良いと思います。
- そこで気をつけてほしいのが、ペイロードを入れて挙動を知っただけで理解した気にならないことです。
Q5: 学び始めで、おすすめの教材はありますか?
- Webアプリケーションの脆弱性診断の場合は以下はおすすめです。
- 他はこれといって知りませんが、
Awsome 〇〇で調べると良いリソースが見つかったりするかもしれません。
Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか?
- 興味が湧いた分野を深堀していく、新たな分野を開拓していくといったように、手を動かし続ける。
Q7: 新卒1年目〜新卒3年目までに望む能力はありますか?
- 私が2年目なので逆に聞きたいですが、よく言われる事を以下に記します。
- 手を動かし続ける。
- 興味分野の仕事に手をあげる事が出来る積極性。
Q2: 学生時代何をやっていましたか?
- ずっと遊んでました。
Q3: 現状の能力はどう培われましたか?
- Offsecのような業務において実践的な認定資格を取って、あとはとにかく案件経験を積むことです。
Q4: 学生時代に何をやっておくと業務に入りやすいですか?
- できるだけ多く人と関わることで業務に入りやすくなると思います。コミュニケーション能力が肝心かなと思います。技術力はどうにでもなります。
Q7: 新卒1年目〜新卒3年目までに望む能力はありますか?
- 社会人力
最後に
次回は、Binary Exploit分野のオススメの勉強方法です。
お楽しみに!