見出し画像
Photo by noranekopochi

脆弱性診断士への道

AMIYA公式note

はじめまして!網屋セキュリティサービス部のイマガワです!

この記事では、網屋に昨年新設されたセキュリティサービス部について、今年の新卒として網屋に入社し、この部署の配属となった自分の視点から紹介していこうと思います。

月日が経つのは早いもので、この記事が出るころには年も暮れ。
一年のまとめとして私とセキュリティサービス部の歩みを振り返り、そしてセキュリティサービス部のことを皆さんにも好きになってもらいたいです!


セキュリティサービス部とは?

セキュリティサービス部とは名前の通りで、サイバーセキュリティ全般のサービスを提供しています。

…さすがに大雑把すぎるのでもう少し詳しく話しておくと、
主に中~小企業でセキュリティ人材が不足している企業に対して、セキュリティの監査脆弱性診断セキュリティ教育などを行っている部署です。

同じ部署の先輩方のnote記事でも紹介しています。


配属当初は不安も多かった

さて、そんな部署に配属が決定した当時ですが、実は不安も多かったです。新規の部署なので実態が分からず、自分は人見知りする性格なので同じ配属の同期がゼロなのも辛かったです。

ですが、実際に蓋を開けてみれば、今年から試験的に始まったメンター制度により、優しい先輩や上司から仕事のことを色々教えてもらうことができる最高の環境でした!!

自分の役割

セキュリティサービス部では大まかに2つのチームがあります。

・ログ監査等、セキュリティ運用をサポートするセキュサポTM
・その他のサービスを行うセキュリティコンサルティングTM

自分はセキュリティコンサルティングTMに配属となりました。

初仕事は脆弱性診断

「脆弱性診断」と言われてもピンと来ないかもしれませんが、会社のセキュリティ対策が万全かどうか網屋でチェックするというものです。

もう少し分かりやすく言うと、会社のネットワーク機器を質問攻めにします。

「ねぇ君どんなOSなの?」「どんなソフトウェアが動いてるの?」「そのバージョンは?」「どういう設定になってるの?」等々…

そういう通信をたくさん送りつけ、返ってきたレスポンスの内容から相手の機器の状態を明らかにし、そこにどんな問題があるかを確認していきます。
返ってきたバージョンがバグや脆弱性のあるものだったら対応しなければなりませんし、設定が甘い場合も同様です。

診断には機器への質問をリストとしてたくさん抱えており、それを高速かつ大量に送り付けることが出来るnmapのようなスキャンツールを用い、返ってきた通信の内容によっては、スキャンツールでは行えないより詳細な手動での調査も行います。
調査で送信するパケットの中には、普通なら企業に送ったら逮捕されちゃうようなものもあります。そういうのも気兼ねなく送れるのは楽しいですね。

ところで、脆弱性診断についてですが、実は自分は大学の頃から馴染みのある分野でもありました。
というのも、私、網屋と現在共同研究を行っているセキュリティ専門の学科がある長崎県立大学の出身でして、脆弱性診断についての授業なども受けていたので、ある程度の事前知識があったんです。


新しいサービス

とはいえ自分の知識が活かせる仕事ばかりでもありません。
セキュリティコンサルティングTMでは新しいサービスがどんどん増えてきており、先輩たちも日々忙しそうに働いております。

他の企業の端末を監視して、何か問題があったら知らせるEDR運用サービスや問題が起こった場合のインシデント対応サービス、そもそも問題が起きないようにセキュリティの設定を見てあげたり、組織のセキュリティがしっかりしているか実際に攻撃して確認するペネトレーションテスト、他にも人材育成サービスなどにも力を入れています。

無論新卒の自分ではできることも限られますが、標的型攻撃メール訓練の講義資料を作成、普段の業務で時間のかかる作業について自動化ツールの作成、EDR導入やインシデント対応サービスについての資料を纏める等、自分でも出来る所から少しづつ出来ることを増やしている最中です。


教育担当として

8月から9月にかけては、普段の仕事に加えてインターンの担当もさせてもらいました。今年は高専や大学から計3校の受け入れを行い、中には自分の母校である長崎県立大学の後輩の姿もありました!

研修では主に脆弱性診断の体験や、アタックサーフェスと呼ばれる、ネットワークから見える組織のセキュリティ上の弱点になりかねない場所への調査などを行ってもらいました。

最初は全く新しい分野に、分からないことだらけのインターン生たちでしたが、質問したり自分で調べたりすることで、最後に行った成果発表では素晴らしい報告書を作ってくれました!
つい最近入社したばかりの自分ですが、教える側の立場になってみることで改めて自分に指導してくださっている先輩方のすごさを再確認できた時間でもありました。


仕事以外のこと

日々の仕事も忙しいですが、他の社員との仕事以外での交流も増えてきています。
野球サークルでの活動や、ウォーキングコンテストやゴルフコンペの参加、あとは同期とワーケーションに行ったりなど、同じ部署に同期がいない分そういう部分で交流を深めています。飲み屋が会社の近くに多いので飲み会とかも多くてうれしいです。
配属当初は不安もありましたが、仕事以外もここ一年は充実していたと思います。

ワーケーションで行った和歌山

足湯に入ったり
おいしいご飯を食べたり
自撮り?

まとめ

セキュリティサービス部で働き始めて最初の1年が終わろうとしていますが、その中でもやはり思うことは知識が足りてねぇ!の一言に尽きます。
セキュリティサービス部の色々な業務にかかわるためには当然色々な知識が必要で、自分にはそれがまだ無いことを実感する日々です。

ただ、いつかは経験を重ねていって、先輩たちのように立派に仕事を出来るようになりたいとも思います。
一先ずは来年以降やってくる新しい新卒に、頼られる先輩として見てもらえるよう自信をもって仕事ができるようになりたいですね。

セキュリティサービス部では、セキュリティの知識を身に着けつつ、その知識を活かして様々なサービスに携わることが出来ます!
興味を持った方がいれば是非いらしてください! お待ちしています!


この記事が参加している募集

企業のnote

with note pro

11,752件

みんなにも読んでほしいですか?

オススメした記事はフォロワーのタイムラインに表示されます!