00:00
またまた、リスナーさんから1年振りに、現状報告のお便りが来ました。
1年越し。
ありがとうございます。
ありがたい。
早速読み上げようと思います。
お久しぶりです。
約1年前、セキュリティエンジニアについて質問させていただいたラジオネームのなかった名無しです。
あれから勉強をして、先日、情報処理安全確保支援士に合格し、
さらには、脆弱性診断のテスターとして働けることになりました。
まだケレについて悩んでいる部分はありますが、できるうちはプレイヤーで、
将来は修学者へのトレーニングに携わって、
少しでもいろんなかのセキュリティレベルを上げることに貢献できたら、なんて思っています。
すごい。
これからもポッドキャスト楽しみに拝聴させていただきます。
頑張ってください。
とのことです。
ありがとうございます。
ありがとうございます。
おめでとうございます。
いや、おめでとうございます。
すごいですね。
すごいね。
ちゃんと前に進んでいるんだって話が聞けるとね。
うん。
けっこうむずいと思うし、この資格。
難しそう。
ちなみに、このななしさんからラジオお便りいただいて返答したのが、
2023年の8月13日なんで、
本当にお便り的には1年越しにいただいた感じですね。
そうだね。
すごい。
ちゃんと聞いてくれてるリスナーさんだ。
すごいな。
これ、回答したとき、確か僕の友達のセキュリティ系のエンジニアにちょっとLINEで話を聞いて、
それも紹介しながらしたっていう感じなので、
ちょっとこのことはまたその友達に報告したいと思うんですけど、
いやー、でもやっぱ嬉しいですね、これは。
嬉しい。
え、ずっとさ、この1年間も聞いてくれてたのかな?
うーん、そうかもしれない。
そう思うと嬉しいね、更に。
ねえ、すごいよね、それって。
もしくはセキュリティ系だと、僕たちなんか話してることあんまセキュリティ系じゃないから、
確かなんかITという枠で共通部分はありつつ、
セキュリティそんな強いエンジニアはここにはいないね。
うん、そうね。
僕なんか、今カナダのカレッジで勉強してることがセキュリティ系なので、なんか、
あ、そうなんだ。
そうですね、話はなんか大枠わかるかなっていう感じなんですけど。
ええー、あ、そうなんだ。
私は全然わかんないです。
僕はこの前セックコンっていう、そのセキュリティのコンテストの試験みたいなのがあるんですけど、
それにちょっとやりました、ぐらい。
おー、いた、意外といた、みんな。
そんな詳しいわけではないけど。
イスコンみたいなセックコンっていうのがあるんだ、へー。
結構面白い。
面白いの?セックコンって何にしてるの?
なんか、自分が攻撃者になるんだよね、そのセックコンテストは。
自分は攻撃者になって、セキュリティの脆弱性を見つけて、
あの、穴を突くと、なんかその、穴を突いたときに、なんかその、なんていうのかな、
03:00
トークンみたいなのがもらえて、そのトークンを入力すると点数がもらえるみたいな。
あー、なるほどね。
あ、そっち側なんだ。
自分は攻撃者になるっていうのがちょっと面白かった。
へー、防御の方かと思ってた。
こういう脆弱性使われちゃうとダメなんだっていうのが学べる。
確かに。
面白かった。
セキュリティ系のさ、実際の仕事ってさ、結構、なんていうの、地道というか、
そうだね。
なことが多いなっていう印象で、なんか、僕はあんまりできる気がしないから、
すごい、できる人すごいなっていうか。
しかもさ、あの、俺が一番セキュリティで難しいなと思ったのはさ、
結局さ、どんだけエンジニアが頑張ってもさ、人がちょっとミスったら終わるやんっていう。
うーん。
放説くそむずくないっていう。
うーん。
うーん、それが本当に思うかな、一番セキュリティで多いってちょっと。
なんか、大きい会社とかになってきた時のセキュリティ系の人たちって、結構その、
人材トレーニングも含めて、
企業のセキュリティをどう保室を上げていくかっていうことを考えなきゃいけないので、
結構なんか、エンジニアっていう側面は結構薄れていくのかなみたいな。
上に上がっていくのっていう印象で、
しかもエンジニアとしても結構その、企業じゃないプロダクトの穴とかを単純に見つけるだけではなくて、
なんか法律とか、海外でサービス提供しているんだったら、
その海外のその地域で適用されるべきルールを探して、
それと照らし合わせて、
セキュリティレベルが担保されているかとか、プライバシーとかがちゃんと条件満たしているかっていうことを、
なんか地道に法律とかと照らし合わせて、
いちいち、いちいちというか、一つ一つ照らし合わせて考えなきゃいけないとかやってくると、
やっぱなんか、僕たちが今いるプロダクトとかを開発するエンジニアとかデザイナーっていうのとはまた別の、
何かを作るっていうよりかは、結構防御的な、
何か作った後に、ちゃんとそれが社会の基準と照らし合わせて大丈夫かどうか、
外からの攻撃に、何ですか、耐えられる設計になっているかっていうのを結構、
確認する守りの職種かなっていう感じがしていて、
それちょっと僕は、続けることが難しいなと思うので。
でもとっても大事だよ。
大事ですけど。
大事だと思う。ゼロデイ攻撃とかあるじゃんね。
あるね。
ああいうのさ、毎回、一応、うちの会社も、
うちの会社ってもうやめちゃったんだけど、元会社も、
毎回毎回ゼロデイとかすごい意識して、
セキュリティー統括している人たちが、いち早く教えてくれて、
アップデートしないでねみたいな、こういうのが問題ですよみたいな、毎回毎回通知してくれてたんだけど、
06:01
結局それもさ、授業によってはさ、今ちょっとやれるようになりそうみたいなのがあったりするからさ、
マジで大変やろうなと思って、セキュリティー本当の意味で担保しようと思ったら。
でも最も優先度高いぐらい優先度高いと思うんだけどね。
結構、内容100%を目指すものでもないかなって気がして。
確かにね。
バランスは大事だよね。
セキュリティー系の職ポジション系の人的には、優先順位立てて、
それごとに関係あるポジションの人たちと交渉して対応してくださいっていう交渉にしに行かなきゃいけない気がするんですけど、
プロダクト作ってる側からすると、
いや、その脆弱性あるのはわかってるけど、
別にそれが露出したとて大した影響ないから、別にやらなくていいと思うんだけどなっていうパターンもたまにあると思っていて、
そういう時に恨まれ役になっちゃうというか、とかもあるよね。
めちゃくちゃ大事だから、
お客さんに物を売っている商売である以上は、信頼を損ねた瞬間に一気に売り上げを失うわけですよ。
めっちゃ最も大事だから、会社のフェーズにはよるとは思うけど、
そこは後回しでってならないことが理想ではありますね。
そうだね。
だからそういう戦略をね、やっぱこう事業部の理解とかも得ながらやっていかないといけないから、
本当にありがたいし大変だと思うけど、マジですごい重要な仕事にやってるなって気がする、本当に。
需要はあるよね。
そういうところめちゃくちゃあると思う。
あるあるある。
まずQAっていう方がね、そもそもね、重要だなって最近すごく実感しているんですけど、
そうでもない?QAエンジニアめっちゃ重要じゃない?
まあ大事だけど、セキュリティの話ではなくて品質一般みたいな話。
そうそうそうそう。幅広く見てQAエンジニアってすごい大事だなって思っている。
今日この頃なんですけど、その中でセキュリティ的な品質ラインが合格してないとリリースできないとか、
それくらいの威力を設けて、自分たちの商品を守りにいかなきゃいけないなっていうふうに私は思ってるのよ。
商品を売る上でね。
やっぱ売ってるものの品質がちゃんと担保されてなくて、脆い状態で売って買ってもらってお客さんに信頼を損ねるようなことはしたくないじゃんね。
09:00
まあ私が2Bのサービスに関わってるからこそかもしれないんだけど。
2Bは絶対いるやろな、QA本当に。
めっちゃ大事だと思う。
そう思うそう思う。
やっぱ別にそれ対応しなくても影響なくねっていうのは、たまに出てくるなと思って、そういう時がつらいなっていう。
そういうとこは優先度とか、そこのレベル感を可視化できている状態であることが大事かなと思ってて、
基本的にはマスト、今すぐやらなきゃいけない。
ただここの関しては、まだ部分的問題がないって言えるとか、
部分的問題ないものは期限つけて管理できる、可視化されて溜まっていく状態とかが理想なのかなと思ってて。
なんか距離が近かったらそれいけそうだなって思うんですけど、
僕昔いた大きめの、もっと大きめの会社だと距離が遠くて、
そのプロダクトを作っている人とセキュリティ系の管理している人って、
外資系だったら知ったこともあって、だから結構トップダウンで何か降ってくるんですよ、これやってくださいみたいな。
基本的にはその会社に関係するすべてのプロダクトが最初にセキュリティ系の人たちから一旦診断されて、
優先順位というか影響高い順にリスクがリストアップされていって、
このレベルまでやりましょうって先に決まって、
そのレベルに関係あるものは上から順にどんどんセキュリティ系の人から関係ある人にどんどんメンション飛んで、
ミーティングするっていうのがあったりするんですけど、
たまにそれでトップダウンで決まったのはわかるけど、
プロダクト的にはそれ本当に意味ありますか、それみたいなのがもっと大きいとあったりしていて、
それが先にプロダクトからの会話が決まっちゃっているみたいな。
運用コミュニケーションとかそういうところに課題がありそうだね。
それも大きい会社だと起きちゃうなみたいな感じはありますけどね。
段階に応じて優先度とか需要とかに応じてみたいな話あったと思うけど、
なんかAWSのセキュリティハブか、
あれで重大度、クリティカル、大、中、小やっててさ、
それでなんかやってたよ。
そういうのを先にトップダウンで決められるみたいな。
セキュリティ的には日本語でどういうかわかんないんですけど、
たぶんセキュリティアセスメントっていうのかな。
そうね、アセスメントだ。
だからそれで重要度とか考えて、プラン、レスポンシブルプラン考えてみたいな。
カレッジでそういうところを学んで、
なんか技術的な会社のセキュリティレスポンスプランを考えて、
重要度がどうたらこうたらっていうのを最近やってて、
めんどいなって思いながらやってた。
12:00
めんどいな。
向いてないですね、小倉君はたぶんね。
ずっとそれぞれですね。
私はすごく大事なお仕事だと思ってますよ。
大事だとは思ってますよ。
みんなそれは思ってると思う。
ただ私もあんまりまだ知識がないからかもしれないけど、
向いてるかは怪しいな。
けどすごい大事だなって思ってるっていうのを伝わるといいな。
ううって思っちゃうな、僕。
遠いところからウェブのプロダクトでコンソールログで、
なんかログが出てるから支給直してくださいって言われると、
いやまあ直すんですけど別にそんな重要なものではないんですがみたいな。
マイナスな思いを思っちゃう性格悪い人間なので多く。
ぶっちゃけあったよそういうのは。
ありますよね。
いやー、いやーみたいな。
難しいのはセキュリティーの対応というか保守系のものってさ、
定期的にライブラリーのアップデートとかもしたけど定期的にやっておくと
1個あげるのってすごい簡単なんだけどバージョンとか。
全然やってなくて急になんか本当にでかいセキュリティーのやつで
あげないといけないみたいな時にあげようってしたらすごい大変じゃんねやっぱり。
バージョンとか。
だからそこら辺のなんか日常的にどんだけ意識に続きはせられるかみたいなのが
すごい大事なのかなってセキュリティーは思ってるけど。
だからライブラリーのアップデートで言うとうちのチームでは毎週担当者が決まっていて、
毎週じゃないよ毎スプリント担当者が決まっていて、
その人がリノベットとか入れていってそれとかも確認してて、
マージしていくっていう運用をしてるよ。
ちゃんとやられてるとこだねそれは。
そう一般的に徐々に上げていくみたいな。
ただそれができていない関心とかも全然いると思うけど。
ライブラリーアップデートはセキュリティー関係なく定期的にやっていたほうが楽だよねっていうのは。
そうそうそう。
話がめっちゃそれちゃった。
それちゃったんですけど何がともあれ、
ナナシさんおめでとうございます。
確かに。
おめでとうございます。
話が盛り上がってしまったんですけど。
めちゃくちゃそれてしまった。
すごい偉いという言い方があれですけど、
本気します本当に。
すごいよね。
1年で取ったわけでしょ。
すごいと思うマジで。
本当に。
将来的には教育にも立ち去りたいってことなので、
今後のキャリアがうまくいくように願っております。
本当に。
多分今後もっともっと需要出てくると思うし、
今なんてね結構重大なセキュリティ事故のニュースとかが結構出たりとかもしてたから、
余計にたぶん需要が出てくると思うし。
ニコニコできなくなっちゃうので。
そうニコニコしたいもんね。
ニコニコしたいからやっぱりみんな。
日本の将来を守るためにぜひお願いします。
15:04
お願いします本当に。
お願いします。
今募集してるらしいんで助けに行ってあげてください。
さすがに難しいと思うけど。
ITトリオ。
もう1個お便りが届いてました。
それもちょっと取り上げようと思います。
リボウさんからいただきました。
ありがとうございます。
いつもPodcastを聞かせてもらっています。
私は25歳未経験でインフラエンジニアに転職して早6年経ち現在インフラ側のデータベースエンジニアとして働いています。
3年ほど前にキャリアチェンジをしてDBの構築や性能試験などをしていますがキャリアとして中堅に差し掛かりこれからは技術のスペシャリストフォームへに進みつつリーダーも経験してみたいと考えています。
そこで皆様の意見をお聞きしたいのですが中堅エンジニアのキャリアとしておよそ何年目ぐらいから方向性を固めた方がいいのか聞いてみたいです。
私は迷っているわけではありませんが中堅になると今までの経験を生かしてマネジメントフォームへに進んだり
新しい技術をやりたくて別の職種を目指す人もいるので参考として聞いてみたいと思いました。
とのことです。
なるほど。ありがとうございます。
キャリアの話ですね。
僕の意見的には状況次第かなっていう。
その状況はたぶん2つあって、転職するかしないかってまず別れると思って、転職しない場合は
なんか結構キャリアの方向性、結構会社の空きポジションとかにもよるかなっていう印象があって
もうちょっとマネジメント方面に進みたいって思い持ってたとしても会社としてはそのポジションに空きがえないと進めないので
そっちの道、なんか自分でコントロールすることは難しいのかなみたいな。
ってなると技術的なスペシャリストを目指して先に頑張っておくほうが効率いいかなって思うので
なんか転職しない場合でその会社に居続けたい場合は
その会社の人材の空きポジション次第で考えるかなっていう意見で
転職したい場合は今自分が持っている能力的に転職しやすい方向性で考えてキャリア伸ばすかなと思って
既にマネジメント経験がちょっとでもあるんだったらそれを活かして
他の会社のEMとかマネジメント関係ある職種に転職できると思うんですけど
それがない場合はマネジメント関係ある職種にいきなり転職するのはむずいかなと思うので
やっぱり技術的なほうをもうちょっと伸ばして転職していくってなるかなっていう僕の意見
18:02
意見になってるのかわかんないですけど
なんか私がこの方のリポーさんの話を聞いて
願望としてワントとして多分技術も磨きながらリーダーの経験をしてみたいっていう願望はあるかなと思ってて
でもリポーさん的には迷ってるわけではないけどそれぞれの意見聞いてみたいって感じでしたね
なるほどねそれぞれの意見聞いてみたいっていうのであれば
主観の話をすると私主観の話をするとその場そのタイミングの個人のワントと会社のポジションを見て
結構流動的にこうしていきたいなしていきたいなを考える
自分の性格上もどちらかというと自分の意思がめちゃくちゃ強いというよりかは会社のためになることをやりたいとか思っちゃうタイプだから
あんまり転職とか考えず今考えてない
どちらかというと自分のライクとかワントとかを今いる環境にフィットさせてキャリアを考えていて
まあ2,3年くらい考えててでもその過程の中で自分の中で強い意思が生まれた時に転職してみようとかこうやりたいってやっていってみようとかなんかそういう風に考えるかな
だから私はぼんやりしてるけどだいぶぼんやりしてるけどどちらかというとなんか自分が何よりも楽しく働けることを大事にしてるかな
なるほどねなんか多分全員違うわこれ聞いてて思ったけど俺も全然違うよだって
自分だったら自分はもう基本的には行けるところまで行きたいというか成長できる限り成長したい人なんで
まああんまり絞らないかなそもそも
マネジメントとかスペシャリストとか絞らなくて両方やる色々勉強するかも
でもマネジメントは結局実践やってみないことには実践経験積まないとあんまり意味がないから
マネジメントはもうとにかくポジション開くのを待つしかないと思ってるんで
基本的には技術力磨く技術力磨きつつマネジメントの枠が開くとか
他の会社とかで募集してたりとか他の会社で募集してても中途だと経験なんて張れないと思うけど
基本的には今の会社でマネジメントのポジション開くのを待ちつつ技術をひたすら磨き続けるっていうような行動を取るかな
多分まずと思う
なるほどですね
なんかキャリア的な話はちょっと前に多分したことがあって
21:01
今年の2月11日の放送で計画的偶発性理論っていうの取り上げたんですけど
はいはいはいはい
覚えてますか
覚えてる覚えてる
もちろん
僕とかチーズだとこれが結構側面が大きくて
なんかあまり自分の立てた目標に固執していないというか
将来こうなりたいっていうのを強く意志を持っているっていうよりかは
結構その目の前のことを割とちゃんと頑張って
頑張っていく中で予期せずに出来事とかが起きるけど
そういうことをプラスにつなげてどんどんキャリアを広げていくみたいな
側面が強いかなと思っているか
なんかあんまり中堅の中堅エンジニアとしてのキャリア
こうあるべきと考えてそのために頑張るっていうやり方はあんまりなんかしてないかなっていう
そうね
こうあるべきはないかなと思う
確かになるじゃん
そもそもたぶんジュニア中堅とかそういうことをそもそもあんまり考えてなくて
そうだね考えてないね
何年目だからこうあるべきとかよりかは
自分らしく働けてある一定数技術を磨いて
それなりのお給料がもらえれば幸せみたいな
もうマジでそんなんでいいのかって思いながらも
私はそうやって働くのが向いているなっていう風に思っているから
そうありたいって感じかな
いいですね
だろうね
僕はそうは言ったんですけど
カナダの市場が違うなって前回の放送で言った通り感じてて
そうだね
自分のキャリアで偶発的にどうなっているか
ちゃんともうちょっと技術で他の人にアピールできるというか
転職しやすい実績をどんどん先に作んないとなっていう風に最近は思っているから
若干考え変わってきたというか
置かれた市場によって持つべき考え方変わってくるなっていうのは感じていて
それはそうだと思うな
あるかもねそれは確かに
日本だとあんまりキャリアケースとか考える必要ないというか
あまりキャリアどうのを考えている人もそもそもそんなに多くない気はしたんだけど
こっちの市場だとキャリアについて明確な目標は持たなくてもいいかもしれないんですけど
そういうのは多かれ少なかれちゃんと自分の強みとかもうちょっと明確に意識した上で
もうちょっとどこの強みを伸ばすとかどういう実績を作るっていうことはやっておかないと
就職しにくいしレイオフとかも普通な状況なので将来困りそうだなっていう風に
それはそうだな
ある程度ね戦略は大事だよね
24:00
自分が3、4年くらい先にどのポジションにいたいかとか
どういうものを身につけているために今どうするべきかみたいなところは重要だなと思ってて
このぼんやりと生きていて
なんなら私はUXデザイナーになりますって言った2ヶ月後くらいに
転職してフロントエンドエンジニアになりますって
したような本当に偶発的な生き方をしているのであんまり言えない立場ではあるんだけど
自分がどうあるべきかとかをちゃんと考えていて
3年後とか目標があるのであればそのために正しいプラクティスを取ってやっていった方が
成果として早くたどり着けるかなと思っているから
わりかし道として一本道へストレートで行ける
私みたいにぐにゃぐにゃぐにゃぐにゃと寄り道して上がっていくよりかピュッと目標に行けるから
それはそれで大事だと思う
一方で働くことに楽しさとかを感じられるかみたいな
そういう心の部分とも向き合いながらキャリアを組み立てていけばいいんじゃないって思う派です
なべちゃんは最近会社も辞めて独立をしたのかな
独立した
新しいキャリアを
全然違うキャリアだね
すごいよね
なべちゃんってこのタイミングで起業することを決意したわけじゃんね
ずっと前から起業するっていう目標を持っていたわけじゃんね
そうだね
なぜ今なの
いろいろあるんだけどタイミングの問題が一番要因としては大きくて
もともと経営者になるっていうのはずっと高校生くらいから経営者になりたいと思ってたんだけど
すごい思った以上に前だった
エンジニアになりたいっていうのももちろんあったんだけど経営者になりたいとエンジニアになりたいは全然別で
交互の繋がりは全く意識してなかった当時は
そもそもエンジニアになりたいっていうのは小学生か中学生くらいの時に
コンピューターで自分でサイトとか立ち上げたりした時に面白いなっていうのがあって
エンジニアになりたいっていうのがあったんだけど経営者になりたいっていうのは
両親が経営をしていて
自分もこういう働き方してるみたいなっていうのがあって
全然それぞれ別の理由でなりたいなっていうのができた要因なので
全然別物なんですよ
明確に経営者とエンジニアの繋がりっていうのを意識したのは
多分大学生か大学生の時に意識して
27:00
自分でサービスとかソフトとか作って
そっちの方面で経営者になったら面白いんじゃないかみたいなのがあって
そこが繋がり始めたのかな最初に
っていうのが繋がったところなんですけど
質問を戻すと
このタイミングでした理由か
このタイミングでした理由っていうのが
30歳くらいには起業したいと思ってましたっていうのがあって
そういう目標があったわけねずっと
そもそもそういう目標があったっていうのが一つと
あと29だけど
友達が
東京に友達がいるんだけど
中学の同級生の友達がいたんだけど
その子がたまたま30歳になる前に
東京に遊びに行った時に
いろいろ話をしたら企業手伝ってくれるみたいな話になって
で
今も一緒にやってくれてるんだけど
先に辞めたのねその友達が
それがちょうど3月くらいの話なんですけど
ほんともう1年くらいは
会社にいて
マネージャーとかもやりそうだったから
マネージャーとかもやってから経営者になろうと思ってたんだけど
ちょっと1年早めて友達が先に辞めたから
3月っていうのもあって
1年さすがに友達を無職で待たせるわけにはいかないので
ちょっとこのタイミングでっていう
ちょっと1年早くやりましたっていう感じ
なるほどね
なべちゃんの目標としてはあったけど
それこそ偶発的な要因とかも含めて
今っていうタイミングで決まったってことだね
そうそうそうそう
それも外部要因があったりして
結構でもなんだかんださ
キャリア決めていく中でさ
外的要因とかさそういう刺激を受けた物事とかさ
によって
右往左往するもんだよね
バシッとまっすぐいくものではない
そうだよね
そうじゃない人いるのかな
このタイミングで絶対こうするみたいな
年表通りに進みますみたいな人いるのかな
これすごいよな
いたらすごいけど
大体そうじゃない気がする
キャリアは
正解がなくてそれぞれがちゃんと考えなきゃいけないから
難しいところではあるけど
多かれ少なかれ自分の
やりたいことみたいなのを意識しておいて
なんとなくそれが叶うように
頑張り続けることができたらいいかなっていう
ノリで
人生やらしてもらってますな
ちょっと長くなってきちゃったから
30:00
そんな感じかな
今回長かったのでエンディングトークなしでいきたいと思います
エンディングトーク楽しみにしていた方がいたら申し訳ございません
ということで
この番組を気に入っていただけた方は
Spotify、Apple Podcast、YouTubeなどで番組のフォローをお待ちしております
レビューもぜひよろしくお願いします
お便りも募集しております
放送の概要欄にあるリンクからどしどし送ってください
Xで感想をつぶやく場合は
ハッシュタグITトリオでお願いします
それではまた来週お会いしましょう ありがとうございました
ありがとうございました
