CDIで働くエンジニアに、オススメの勉強方法を聞いてみた #4 (Dev, Infra)

sakuraです。

本ブログは、「CDIで働くエンジニアに、オススメの勉強方法を聞いてみた」シリーズ 4日目(最終日)のDev(開発)、 Infra分野です。

他の分野のブログが気になる方は、以下もご確認ください。

• #1 Hardware, Web Exploit, RedTeam
• #2 Binary Exploit
• #3 Malware Analysis, OSINT, Forensic

今回も質問内容は変わらず、以下となっています。

• Q1: 普段の業務はなんですか？
• Q2: 学生時代何をやっていましたか？
• Q3: 現状の能力はどう培われましたか？
• Q4: 学生時代に何をやっておくと業務に入りやすいですか？
• Q5: 学び始めで、おすすめの教材はありますか？
• Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか？
• Q7: 新卒1年目〜新卒3年目までに望む能力はありますか？

それでは、現役セキュリティエンジニアの回答を見ていきましょう!!!

• 回答
  • Dev
  • Dev
  • Dev
  • Infra
• 最後に

回答

Q2: 学生時代何をやっていましたか？

• 学部時代は、成績が地を這っていて失う物も無かったので他学の興味ある講義を片っ端から受けていた。
• そこらの有名FLOSSにも貢献をしていたし、機械学習研究やインターン・バイトも力入れてやっていたが、周囲の友人と比べて特筆する程のものでもなかった。

Q3: 現状の能力はどう培われましたか？

• 半導体やHW解析
  • 学部時代のFPGA実験や半導体設計、テープアウト経験が活きているとは思う。
  • 後は基板設計から量産までの経験と、当然ながら私的に解析回数を重ねて。
• 純粋な開発
  • OSSなり自宅用の開発をずっとしていたので、当然ながら一通り鍛えられていた。

Q4: 学生時代に何をやっておくと業務に入りやすいですか？

• とりあえず講義とかじゃなくて良いので、勉強と知識の実践の癖付けだけは常にやっておいた方が良い。
• 想定読者を考えた文章を書いてレポートとして纏められるスキル(≠大学レポートや論文書き)は身に付けておいた方が得かなと思う。
• 機械的に校正できるようなtypo等でミスらない為にも、校正ツールも手に馴染む物を考えておいた方が良い

Q5: 学び始めで、おすすめの教材はありますか？

• 大学の講義資料は結構ネット上から読める物が多く、その中でも概論系の講義資料は読み込んでおいた方が良い。
  • 学び始めで全体像もわかっていない内に何か理由付けて(例えば自分の専門にしたい所じゃないからとか)、概観を得ずに学んでいくと良い事が一切無い
    • 物事知らない所で関連しがちで、大前提のような物事は専門性が高い文献になっていくほど解説されなくなっていくため。
  • わからない用語は書きだした上でオントロジーを作り概念整理をしておくと良いと思う。
• IPAが出している手引き類は時間ある時に目を通すと良い
  • IoT開発におけるセキュリティ設計の手引き (pdf)とか
    • 丁寧に更新されていて想定読者が幅広いので初学者でも読みやすい。

Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか？

• あらかた学んでれば何が自分の学習方法として合う合わないかがわかってきていると思うので、実践こそ最良の教師かなと。
  • HackTheBoxのようなトレーニングコンテンツやCTFなりからピックするなど。
• 純粋な開発能力だと、好きな分野の論文実装がおすすめです。
• 自分が受け取っておきたかった言葉として、"量を確保せずに質の話をするな", "健康こそが全ての源"があります...(未だに後悔が

Q7: 新卒1年目〜新卒3年目までに望む能力はありますか？

• (自分は真っ当な人生送れていないので、わからないです。学習能力と表面上のコミュニケーションプロトコル？ここは他の人にお任せします)

Q2: 学生時代何をやっていましたか？

• 学部は心理学系、あとバイトばっかり

Q3: 現状の能力はどう培われましたか？

• 文系だけど、図形以外の数学が得意だった
• トライ&エラーを恐れない性格だった

Q4: 学生時代に何をやっておくと業務に入りやすいですか？

• 英語、基本情報／応用情報技術者試験の教材
• 旅行と語学（あとあと出張のときに役立つ）

Q5: 学び始めで、おすすめの教材はありますか？

• 基本情報技術者試験の教材
• ハッキングラボの作り方

Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか？

• 興味のあるプロジェクトがあれば、未経験でも手をあげてみること。

Q7: 新卒1年目〜新卒3年目までに望む能力はありますか？

• わからなければ、15～30分くらい自分で調査や考えて、それでもわからなければ有識者にきくこと。
• 有識者と仲良くなるコミュニケーション力。

Q1: 普段の業務はなんですか？

• PIV Gateway Trust というゼロトラスト製品の研究開発をやっております。
• それ以前は Web アプリケーション、スマホアプリ、ハードウェア、ネットワークのセキュリティテストを合わせて 10 年くらいやっていました。
• セキュリティテスト業務で得た知識・経験を新たな研究開発の場に活かし、攻撃者の目標・攻撃を具体的に想定しながら技術調査や設計・開発・テストを行っています。

Q2: 学生時代何をやっていましたか？

• 留年しない程度に勉強しながら、アルバイトで稼いだお金で遊んでいました。
  • IT 関連の資格は基本情報技術者試験だけ取得しましたが、午後のプログラミング問題は 1 問も解けないようなレベルでした。
  • 業務に必要なスキルはほぼ業務中に習得させて頂きました。

Q3: 現状の能力はどう培われましたか？

• 情報セキュリティスペシャリスト試験を取得したものの、セキュリティ知識や実務能力は非常に乏しい状態で CDI に入社しました。
  • 入社後は"できないこと"しかなかったので、できなかったことは教えを請いながらできるようになるまでやる日々を繰り返しました。

Q4: 学生時代に何をやっておくと業務に入りやすいですか？

• 基礎は何年経っても腐らないと思います。
  • 計算機科学の学習をはじめ、ネットワーク・プロトコルやプログラミングの学習をしておくといいのではないでしょうか。

Q5: 学び始めで、おすすめの教材はありますか？

• 「マスタリングTCP/IP 入門編」を推しておきます。
  • ネットワークの基本の基。
  • セキュリティの道に進んでも進まなくても、何年経っても腐らないと思います。

Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか？

• 弊社ブログ記事あら、セキュリティの勉強を始めたとこなん？それやったらこれオススメやで！～オススメ本・サイトまとめ～の"最新の情報収集"にいい感じのサイトのリストがあります。
  • ちょっと難しめの最新の情報を追いかけると成長できそうです。
• おそらく大半の方は技術一辺倒で進み続けることに疑問や無理が生じることと思われます。
  • あらかた学んだような感覚に陥ったタイミングで、インテリジェンス（とりわけシギント）を少し学んでみるとよいかもしれません。
  • 私の場合は、脅威とは何か?その対象は?我々はなぜ高度なセキュリティを追求し続けなければならないのか?といった疑問への答えと、セキュリティが単なる攻撃・防御で成り立っている訳ではないという当然の事実に気づくことができました。
  • キャリアを考える上でもセキュリティの世界の広がりがあり、とてもよいと思います。

Q7: 新卒1年目〜新卒3年目までに望む能力はありますか？

• 業界限らず報連相（ほう・れん・そう）を身につけることが大事だと思います。
  • 年をとってから身につけるのは難しいようです。

Q1: 普段の業務はなんですか？

• フォレンジックツールの代理店としてのユーザサポート、教育サービスのインフラ開発・運用保守

Q2: 学生時代何をやっていましたか？

• 大学では社会学部の経済・経営コースに進学し、ゼミは社会心理学を選択しました。
• アルバイトでIoT関連の研究開発をしていました。

Q3: 現状の能力はどう培われましたか？

• 周囲に勧められたことは積極的に取り組むようにしています。キャパシティの問題で、勧められたことの10%くらいしか実行に移せていませんが汗

Q4: 学生時代に何をやっておくと業務に入りやすいですか？

• 学生時代から業務に入ることをあまり意識せず、自身の専門性を高めることに集中するのが良いと思いますが……、強いていうなら英語のリーディングでしょうか。
  • 英文を読む機会は多いですし、習得するのにも時間がかかるので。
  • 翻訳機も使えるときは使いますが、社外に出せない情報が含まれているドキュメントなどは自力で読んでいます涙

Q5: 学び始めで、おすすめの教材はありますか？

• 最初から教科書や技術書を読み込むのは辛いので、雑誌の『Software Design』を流し読みするのが良いかもしれないです。
  • 幅広いジャンルに触れられますし、連載記事なんかは一気に技術書を一冊読むより気楽に読める気がします。

Q6: あらかた学んだあと、実力を伸ばすおすすめの方法はありますか？

• 私も模索中です汗 最近、技術同人誌をひとりサークルで出しました。
  • 嘘を書いて本を出すわけにはいかないので、調査・検証・レビュー集めに必死になれたので良かったかなと思います。

Q7: 新卒1年目〜新卒3年目までに望む能力はありますか？

• 慣れない環境で大変かもしれませんが、バランスよくご飯を食べ、運動習慣を心掛け、そして沢山寝てください。

最後に

本ブログ記事では、Dev、Infra分野でのおすすめの勉強方法を紹介しました。

今回で、「CDIで働くエンジニアに、オススメの勉強方法を聞いてみた」シリーズは最後です。
本シリーズを書くにあたって、たくさんの回答をいただけてありがたい限りです。

最後に私の話を少しだけ。
回答の中に、コミュニケーション能力を挙げてくれた方が多くいらっしゃました。

これは私自身も大切だなと思っていることの一つで、回答をまとめながら「わかる〜」となっていました。

やはり新卒で入社した後、先輩に話しかけに行くのが怖かったり、何を話していのかわからないなどあると思います。
ただ、そこで怖いからと言った理由で会話の機会を減らす、もしくは失くすというのは勿体無いので、自分から会話をしにいくと、とても良いと思っています。
(会社によるとは思いますが、基本的に優しく対応してくれるはずです。)

それでも、自分から話しかけに行くのが怖いという方もいると思います。

怖いと思っている理由が「人と話す事に慣れていない」場合、(それこそ)セキュリティ若手の会などのオフラインで開催されるイベントに参加する事が良いのではないでしょうか。
入社予定の会社で働いている人が参加している場合は、入社前に仲良くなるチャンスですし、そうでなくともコミュニケーションを取ることに慣れる良い機会です。

「話したいけど、何を話したら良いのかわからない」場合は、自分が今どんな(技術的な)ことをしているかや、自分が好きな技術を伝えてみてください。
大抵のオタクは、技術の話を聞いていると口角が上がり、目がキラキラしてくるはずです。
結果として、マイフレンドになれるはずです。

本シリーズを書くにあたって、技術的な話だけではなく¹、働くうえで大事な事も共有していただきました。
本シリーズが弊社だけではなく、別の会社で新卒として入社される学生の方の役に立てればとても嬉しく思います。