1. 人間FM
  2. #121: 悪党としてのセキュリテ..
2023-08-18 10:56

#121: 悪党としてのセキュリティエンジニア

よこやまが国家資格セキュリティスペシャリスト(情報処理安全確保支援士)になりました。


-- 人間FMへのおたよりはこちら ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠https://forms.gle/xWLUA8r95YaiDj7d6⁠


Summary

横山さんはセキュリティスペシャリストの資格を取得し、セキュリティの知識や能力を持っています。資格は国家試験で最高難度であり、一発合格しました。横山さんはセキュリティエンジニアの重要性について話します。これにより、横山さんは国家プロジェクトやマイナンバーなどのセキュリティが厳しいプロジェクトに参加しやすくなりました。

セキュリティスペシャリスト資格取得
横山です。たいじゅです。なんとですね、僕、セキュリティスペシャリストを名乗っていいことになりました。
すごくないですか?すごいですね。気づいたらスペシャリストになってるんですよ。何かっていうと、経済産業省の下にあるIPAが試験を出している、その情報処理技術者試験の最高難易度の資格、
レベル4って言われるやつなんですけど、の国家試験、セキュリティスペシャリスト、正式名称情報安全確保支援士ってやつなんですけど、
なんと一発合格しました。最高レベルみたいなやつなんですか?一応国家試験で最高上位のセキュリティの資格。すごいですね。
なんか、シュッと受かりましたね。前に何か段階とか踏んでいったんですか?よくある段階で言うと、ITパスポートを取って、その上にある情報セキュリティ
マネジメント試験っていうのがあって、ちょっと簡単なやつ。その上に基本情報応用情報があって、最後に、いわゆるそのスペシャリスト資格ってやつ。
他にもデータベースとかネットワークとかあるんですけれども、それの一つのセキュリティを取れたっていう感じですね。
ちなみに僕、セキュリティの実務経験ゼロなんですよ。独学で合格と。すごいなぁ。マジでね、降りてきましたね。
知ってた最初から。問題読めば解けるんですよ。最低限の勉強はしましたけど、知識とかを伴わないような問題については生きるっていうね。
不思議な現象が起きまして、なんかしれっと会社にセキュリティスペシャリストになったんですけど、なんかないですか?って言うので、給料がちょっと上がりましたね。
これはね、僕隠された才能じゃないですけど、特に何もしてないのにセキュリティにやたら詳しい人になったっていう自慢ですね。
いや本当にこれわかんなくて、周りで落ちてる人がいっぱいいるんですよ。たいじゅうさんは受けてないですかね?
受けてないですし、横山さんがセキュリティスペシャリストを勉強してるだか試験受けただかみたいな、そういう話は元々聞いてて、正直僕からしたらセキュリティの話とかってめちゃくちゃつまんなそうだなっていうイメージで、横山さんよくそんなの勉強してるなみたいに思ってたんですよ。
それはよく言われますね。セキュリティってなんかどうやらエンジニアの中でもつまんない部類になるみたいですね。
セキュリティのイメージ
エンジニアって結構プログラム書くって一般的には物を作るのが好きみたいな話な人って多いと思うんですよね。
セキュリティって守るとかそれ自体が何かを作るっていう感じはしないんで、退屈に感じるのかなっていう気がしますね。
それはやっぱり犯罪から遠いところにいる人間だからですかね。僕はどうやら犯罪者気質があるみたいなんで、基本的にどうやってシステムをハッキングするかってことを考えるのは中二病じゃないですけど結構好きなんですよ。
本当にそうそうそうこの話を始めたきっかけっていうのがさっきその収録と関係ないところで横山さんってやたら犯罪好きですよねみたいな。
いつ犯罪をしようかっていうチャンスを常に伺ってますよねみたいな話をして、それがどっから来たんだでもないこうでもないって話をしてたんですけど、あれセキュリティもそうなんじゃねっていうことですよね。
その能力がいかんなく発揮されたのが今回の対して実もやってないのにスペシャリストになるっていう謎現象。相性が良かったという感じですね。
でもこの試験楽しめる人は本当楽しめると思うんですよ。午前問題と午後問題ってあって、午前は基本的に知識4択の選択問題なんですけど、
午後はがっつりと長文読解して、今こういう状況にシステムが置かれてます。先日何々さんがPCなくしましたとか、その後にこんなウイルスが入ってきましたみたいなのがつらつらと書かれてて、じゃあどういうふうに対策していこうっていうのを書いていくやつなんですよ。
読んでる間にもうね、これはここ俺なら攻めるなっていうのがいくらでも沸き上がってくるんですよね。あとはそこに蓋していくだけなんで、ここ危ないです、ここ危ないですっていうのを回答欄に書いていけば受かる。
そんなに難しい気分はしなかったんですよ。けど他の人落ちたとか難しすぎるとか、また来年も再来年も挑戦だみたいな言ってる人がいて、
言っても一応国家最難関セキュリティ四角なんでね、そんな多い人だと受かっていいものじゃないと思うんですけど、僕何の問題もなく受かりましたね。
でもね、正直ね、受かりますよ、大樹さん。やれや。そんなに細かい話聞かれないんですよ。
なんか読解問題の中に散りばめられてるよくある弱点みたいな部分を探すってぐらいで、実際のソースコードを読んでそこのコードがおかしいとか、このアルゴリズムが脆弱性が含まれてるとか、暗号の仕組みがどうだとかいうのはそんな細かいこと聞かれないんで、
一般常識レベル?一般常識?エンジニアの中での一般常識っていうのが完璧に出来上がってるんであれば、受かりやすいんですね。
例えばで言うと、GitHubみたいなリポジトリを運営してます。その中でCICDが回ってます。フル権限を持ったこのトークンでいつも運用してます。ある日、リポジトリの内容が流出しました。まず何しますか?みたいな。
そしたらあれですよね、トークン変えるとか、あとトークンの権限がでかすぎるんで読み込み権限だけにするとか、そういうので対処しましょうみたいなのを書くだけですよ。
これなら知ってるじゃないですか。思うに実務経験っていうか、一般的な開発業務っていうの。開発に限らずに全体のシステム開発っていうものに携わる期間が5年ぐらいあれば肌感をつかめると思うんですよ。
だから別にセキュリティスペシャリストだからって言って、いきなりNASAのスパコンをハッキングいくぜっていうわけじゃないんで、大したことないですよ。
僕からすると結構前に横山さんにパッと話題になって、よくわからなかったんで横山さんに聞いたんですけど、スタバのWi-Fiに接続してログインしてみたいな、これの危険性どこにあるの?みたいな話。
あったあった、危険だらけっていうか、どういうふうに俺なら攻めるかみたいなのとか、攻撃者ならどう攻めるかっていうのはすぐ出てきましたね。
セキュリティスペシャリストの能力
確かに個別で言うと、聞いたところでいや難しくて全然わかんないわとはならないんですけど、そういう方法があるのねみたいなのは結構自分としては、一度知ればわかるかもしれないけど、知らなかったなみたいなのは割と全方位にあるんで。
これも不思議で、なんで俺これ知ってんだろうってなってるんですよ。勉強した覚えがないんですよ。
なんか少年漫画の主人公的な感じですね。
結構天からの囁きでやってますね。
才能で打ち勝った。
なんか知ってた。てか知るきっかけがどこかにあったとしても、それを吸収するのって結構時間かかるじゃないですか。知識として。
一撃でその知識が入ってくる。すごいな。
多分そこの回路ができてるんだと思うんですよ。いかに攻めるか攻められるかのアンテナは、なんかかなり高いですね。不思議。
実際これ、この資格があると普通なんだろう、どういう仕事をするんですか?
僕もあんまり現場にいないからわかんないんですけど、この資格があると迫がつく。
国家に関わる、国家?国のプロジェクトとしてシステム作るぜって時の一つの要件になりやすい。この人いますか?現場に。
なるほど。
セキュリティスペシャル人が何名いる体制でこのプロジェクトやりますよっていう国家プロジェクトみたいなのがあったら、そこに参加しやすくなる。
例えばマイナンバーとかって結構セキュリティ厳しいじゃないですか。
ああいうのも、入札案件とか仮にあったりとかしたら、国から受ける仕事があったとしたら、じゃあ横山さんやってっていうのにしやすくなるって感じですね。
強いな。
あと登録すれば経済産業者とかIPAのホームページに名前が載ります。
だからそこから顧客はこいつらなら任せられるっていうのを判断しやすいんで、会社としては持っておいて助かるっていう風には言われましたね。
そうですね。
ヒッチじゃないけど、あると博がつくし、一部優遇が受けられるという感じですね。
結構おすすめだと思うんですけどね。セキュリティもっと流行ってもいいと思うんだけどな。
セキュリティエンジニアの役割と楽しさ
そうですね。実際そうですね。
自分が仕事を受ける立場とか作る立場になって、チームに一人いるといいですね。
実際迷うことはありますもん?このシステムってどこまでどう大丈夫なのかなとか、これってどこまで気にする必要があるんだろうとか。
そこら辺はやりましたね。お任せください。
そもそもセキュリティって楽しいよっていうのはもうちょっと思ってほしいですね。
なるほど。
性格の悪さを出したいとき、どこを攻めようかなっていうのがセキュリティエンジニアの一番進化を発揮する場所なんじゃないかって思うし、
そもそもセキュリティって横軸でのテクノロジーなんで、別にセキュリティがめっちゃできますだけじゃどうしようもない部分があるんですよ。
開発も知ってて、運営も知ってて、マネジメントも知っててっていうような状態じゃないと、一体なんで全体を通してセキュリティの問題が起きるかっていうのって把握しづらいと思うんですね。
セキュリティの3つの資源の中で一番問題って言われてるのがその人的リソースに対するセキュリティの管理なんですよ。
人がわけわかんないことを仕出すってこと。
例えばPC持って帰って飲み会してそのまま電車で連絡するみたいな。
それをどう防ぐかっていうのを考えるのって、システム全体を通さないと絶対わからない部分なんですね。
いかにわけわからない動きをユーザーがしても壊れない、攻められない仕組みを作るっていうのって、人の心すらも分かってないとできないことだと思うんで。
そういう部分で言うと技術、一般的な技術っていうのからもう一歩さらに抜け出した部分でもソフトウェア開発っていうかシステム開発を楽しめるんで、結構いい領域だと思うんですよね。
かなり総合力というか、人の人間が頑張って考える余地がある仕事ですね。
本来考えることがいっぱいあって楽しい仕事なんで、ちょっとプログラミングとかから外れちゃうんだけど、やるのは面白いと思いますね。
だからもっとセキュリティだからといって堅苦しいっていう風に思わずに、もうちょっとね、悪党集団としてのセキュリティエンジニアっていうのを確立した方がいいかもしれないですね。
すごい新鮮な話でした。やっぱり自分はものづくりとしてのプログラミングとかシステム開発っていうのが好きで、今もやってるんで、セキュリティなんて何が面白いんだろうっていう風に思ってたんですけど、
自分がそうなるかどうかは別として、それは楽しむ気持ちっていうのはすごい伝わりました。
それに気づいたのがこの試験にあんまり勉強しないで受かったってことなんで、なんか嬉しかったですね。
今後ちょっとキャリアでなんとかこのセキュリティっていうのをやっていきたいんで、なんかお仕事ください。
人間FMではお便りを募集しています。概要欄記載のGoogleフォームまたはTwitterのDMからお気軽にお送りください。
10:56

Comments

Scroll