セキュリティ診断員ってこんな仕事 〜セキュリティ診断について理解を深めるその7〜
セキュリティ診断員って、かっこよくないですか? 情報セキュリティのガーディアンたるセキュリティエンジニア。その中でも、スペシャリストであるセキュリティ診断員。Webセキュリティの世界を知るにつれ、かっこいいなぁと憧れが募っているブログ担当のもちゃじです。
もちゃじもセキュリティ診断員になれるかしら? いや、無理だろ。そもそも、彼らの実態をよく知らないじゃないか。確かに。ということで、この記事ではセキュリティ診断員の実態を調べていきます。セキュリティ診断員について、少しでも理解が深まるとうれしいです。
セキュリティ診断の理解を深めるシリーズ、他の記事についてはこちらからご覧いただけます。
- その1 ブラックボックス診断とは?
- その2 セキュリティ診断の診断項目、その多さの理由に迫る
- その3 ローカルプロキシツールとは?
- その4 ツールによる診断とは?
- その5 手作業による診断とは?
- その6 報告書とは?
- その7 セキュリティ診断員ってこんな仕事 ←本記事
セキュリティ診断員って、どんなことしてるの?
セキュリティ診断員は、Webセキュリティ診断によってセキュリティを評価し、脆弱性を検出するスペシャリストです。
ざっくりいうと、悪い人からシステムやネットワーク、アプリケーションなどを守るために、セキュリティの穴を探す人。悪意のある攻撃からこれらを守るための第一歩の役割を果たします。
そのWebセキュリティ診断は、主に2パターンあります。
- 自社の製品やサービスを診断する
- お客さまに診断サービスを提供する
それぞれ診断の目的は「脆弱性許すまじ!」と一緒ですが、自社向けとお客さま向けでは、仕事内容に違いがあります。
自社の製品・サービスを診断する診断員の仕事
自社製品・サービスのセキュリティを向上させるために頑張ります。
役割
- 組織のセキュリティの継続監視
- 脆弱性の検出と改善の支援
- セキュリティの向上を促進
仕事内容
- セキュリテイ診断の計画と実施
- 脆弱性の検出と評価
- 報告書の作成
- 修復と改善の支援
- フィードバックとセキュリティトレーニング
- 診断サイクルの継続
お客さまに診断サービスを提供する診断員の仕事
お客さまから依頼があった製品・サービスのセキュリティを向上させるために頑張ります。
役割
- お客さまから依頼があった製品・サービスのセキュリティを向上させる
- お客さまの要件を満たす
- 脆弱性を検出し、修復するための情報を提供する
仕事内容
- お客さまとのコミュニケーション
- プロジェクトの計画とスケジュール策定
- 診断前の準備
- 診断の実施
- 脆弱性の検出と評価
- 報告書の作成と提供
- お客さまからの質問への対応
- フィードバックと改善
セキュリティ診断員の仕事の様子
ここからは、当社のWebセキュリティ診断サービス「ABURIDA」のセキュリティ診断員を例にお話しします。
セキュリティインシデントを防ぐために日々脆弱性の有無を調べまくっている診断員たち。
エンジニア界隈でよくある、平常時と繁忙期の差はどの程度違うのでしょうか。詳しく話を伺いました。
スキルアップに時間を使える余裕のある時期(閑散期?)
一人一案件でスケジュールにも余裕があります。基本的にはリモート診断が行われます。
- ベテラン診断員→超余裕
- 若手診断員→まあ、余裕あり?
ベテランは診断だけやっている時は心が落ち着いているそうです。なんと息をするように診断しているんだとか。息をするように。どんな領域でもベテランとはかくあるべし。
そしてスケジュールに余裕があるため、診断に加えて勉強会、振り返り、情報整理、スキルや知識の習得など、スキルアップに時間を充てることができて、心にもゆとりのある時期でもあるそうです。
ゆったりできる平常時、経験の差が余裕に表れる時も
通常は、一人一案件でリモート診断を行っており、スケジュールには余裕がありますが、大量に脆弱性が検出されることもあります。そのような場合は、ベテランと若手でこのような違いがあります。
あんまり脆弱性が検出されないサイトを診断しているとき(平常時)
▍ベテラン診断員
経験値があり、仕事も判断も早いので、前倒しで診断作業を終わらせる、他の案件の手伝いをする、などの対応ができる。質問や割り込み作業も、余裕で対応可能。
▍若手診断員
余裕を持って前倒しで完了できる。他の割り込み作業も対応可能。他の案件を並行して……とかは難しい。
脆弱性が1~2種類くらい検出されている場合
▍ベテラン診断員
経験値があり、仕事も判断も早いので、それなりに余裕がある。割り込み作業や他案件の平行も対応できなくはない。
▍若手診断員
多少余裕を持って完了できる。他の割り込み作業などは、ちょっと対応が難しい。特に経験したことがない脆弱性を検出した場合は、報告書作成などにも時間がかかる傾向。
脆弱性が種類も件数も大量に検出されている場合
▍ベテラン診断員
余裕がなくなる。割り込み作業とかも、対応が難しい。
▍若手診断員
他の方からのヘルプが必要になるケースが多い。
ベテランは、経験値やチーム内でのコミュニケーションが取りやすいなどの面から、若手に比べてトラブル対応に時間がかからないようです。逆に何も脆弱性が検出されないとドキドキするんだそう。診断すると何かしら脆弱性を検出する(当社の「ABURIDA50」の診断では、76%で危険な脆弱性が見つかる)ので、「検出されない=穴がない=レアケース」となるわけですね。
もちゃじだったら、ちゃんと診断できたか自分を疑う案件だな。でも、まれにあるんですって。だからレアケース。
ベテランも若手もみんなヒーヒーする繁忙期
案件を複数担当する。
- ベテラン診断員→日中は打ち合わせ、夜は案件一つ+サブ案件二つを担当することも
- 若手診断員→ひたすら診断作業
お客さまによっては診断できるタイミングが限定されている場合もあって、案件が重なってしまい、スケジュールがハードに。とはいえフォロー体制はあるので、若手が悩んだり疲れたりしているように見えるときには、ベテランがサポートするので安心して働けるそうです。
年に数カ月ある繁忙期は、ベテラン若手関係なくみんなちょっと老けてるな(もちゃじの感想です)。
診断以外の仕事
診断だけやっていればいいわけではないのが、セキュリティ診断員。どんな職種でもそうですが、チームや組織で働くのであれば、いくらスペシャリストといえど、診断に関わること以外にも仕事は発生しますよね。
ざっと挙げてみると、以下のとおり。
- セキュリティニュースの追跡
- 社内外の打ち合わせ
- 定例会
- 研修
- 事業目標や事業計画のPDCA
- 業務の定型化作業
- ナレッジまとめ
- プロモーション活動
さすがに繁忙期には診断関連以外のものはあまり入らないようですけどね。それでも1年を通して多くの仕事が待っています。
セキュリティ診断員のとある1日(平常時)
とある日のスケジュールを見てみると、ベテランは診断しつつも会議やフォローなど同時並行でいろいろあり、若手は診断に集中していることが分かります。
ベテラン診断員に聞いてみた
なんだかもう直接聞いた方が早いので、セキュリティ診断歴12年のベテラン診断員、S氏に聞いてみました。
どのようにしてセキュリティ診断員になったのか
入社してから運用に配属され、10年たったころ上司から声を掛けられたのがきっかけです。セキュリティ事業自体が当社で初の試みでした。新しいことに挑戦できることに惹かれて、迷いなくセキュリティの道へ。当初はセキュリティを学ぶためにSST社へ出向し、たくさんご指導をいただきましたね。と遠い目のS氏。
なるほど、最初はセキュリティとは畑違いだったわけなんですね。
セキュリティ診断員になって
セキュリティの仕事は楽しいし、今後も診断を続けたいと思っています。体が診断に最適化されてきたからね、とドヤ顔。運用の10年間は、厳しい入退室管理やチェックなど、セキュリティ意識の高い職場だったので、スムーズにセキュリティの仕事に入れたと思う。
運用の10年間はセキュリティの道へ進むための布石だったという風にも取れますね。自分で伏線回収していくスタイルのS氏。
ずばり、野望は?
「世の中にITセキュリティを広めていきたい!」
おお、頼もしやS氏! てっきり出世とか年収UPとかそういうのかと思ったのですが、そんな自分のことではなく、社会全体を見ていたのでした。
自分の分野を通して、より安全な社会に貢献していきたいという姿勢には頭が下がります。12年の診断経験からくる言葉の重み。その一言の奥には、セキュリティの重要性や理解を深める大切さをもっと世の中に普及したい気持ちがあるのではないか、ともちゃじは思うのです。
若手診断員に聞いてみた
セキュリティ診断の世界にどっぷり漬かっているベテランの話だけでは偏りそうなので、2年目の若手診断員Uさんにも聞いてみました。
セキュリティを選んだきっかけ
「開発」と「インフラ」と「セキュリティ」の3つの選択肢があった中で、今後の伸びが期待できる。業界としてまだまだ伸びていくだろうし、新卒から参入できると今後が楽かなと思ったから、セキュリティを選んだんです。
しっかりと業界の動向も見据え、開発、インフラと比較検討し、セキュリティチームへの配属を勝ち取ったUさん。しっかりしてるわ〜。
先輩が優秀そうに見えたのもセキュリティを選んだ理由の一つでもあるそうで、なるほど、先輩としての見え方も大事なのね。気を付けよう、と襟を正したもちゃじ。
セキュリティ診断員になって変化したこと
セキュリティの世界は楽しいです。学生時代セキュリティの勉強はしていませんが、今、知らなかった世界を知れている。今まで使っていたネットの世界の裏側が見られて、楽しいです。
また、世の中のセキュリティインシデントのニュースに敏感になりました。。あとは、パスワードの重要性も感じているので、脆弱なパスワードは使えないなとか、日常生活に生かせるのも面白いです。
とにかくなんでも吸収して、ガツガツ貪欲に仕事していきたいんだなと感じたUさん。仕事を楽しんでいる姿はまぶしさすら感じます。
今後の野望
「ABURIDA」はWebサイトもプラットフォームもスマホアプリも診断を行っているけど、私個人としてはほとんどWebサイトの診断をしています。個人としてもチームとしても、さらにカバーできる範囲を広げたい。ペネトレやマルウェア解析などにも広がっていったら楽しいと思います。
おお、だいぶ頼もしいですね。というのも、Uさんには後輩ができて合計3人を見ているらしく、後輩を見ることで視野が広がったんだそう。先輩や上司が何をしていて、それはどういうことなのかが見えてきた、と。
分かることやできることが増えると、より一層仕事も楽しくなってくるし、新しいアイデアも浮かんできますもんね。
若手が野望を持っている姿、やっぱりまぶしや。
もちゃじは診断員になれそうか?
お話を伺っていて、セキュリティ診断員も実はコミュニケーション能力めっちゃ大事なんでは?と感じました。黙々とツールや手作業で診断をしている診断員さんは、コミュ力ってあまり重要じゃないのかもと漠然と思っていたのですが、ABURIDAの診断員さんたちはそんなことありませんでした。そりゃそうか。対お客さまだしな。連携も欠かせないだろうしな。
また、専門知識がないと診断員になれないのかと思っていましたが、半年間のOJTや勉強会があり、チームに入ってから知識を身に付けていく仕組みがあることを知りました。
ということは、セキュリティの知識は低くても、状況を読む力や情報を整理する力がある人は、チャンスがあるのでは?
うーん。では果たしてもちゃじは診断員になれそうかというと……。難しいだろうな。セキュリティの知識をカバーできるコミュ力、状況を読む力、情報整理する力……。パッションはあるんだがなぁ。
まとめ
セキュリティ診断員は、セキュリティの穴を見つけ、脆弱性を検出するスペシャリストです。セキュリティを向上させるために、地道な作業や仮説検証を繰り返し、日夜奮闘しています。的確な診断を下すためには、前提知識を含めた幅広い知識が必要なので、日頃からのインプットも欠かせません。
ABURIDA診断員のベテランS氏、若手Uさんともに、仕事を楽しんでいる姿が印象的でした。仕事を楽しめるって、実は一番重要なのではないかと思うのです。
セキュリティ診断に全力で取り組む一方で、個々に力をつけるためにもそれぞれ努力しているのが伝わってきて、なんだABURIDAいいチームじゃないか、と偉そうな感想を持ったものです。
当社(信興テクノミスト)のセキュリティチームでは、セキュリティ診断エンジニアを募集しています。セキュリティの重要性がますます高まる中、私たちと一緒にセキュリティの世界で一緒に成長していきませんか?
キャリア採用サイトはこちらです。興味がある方は、ぜひご覧ください。
ふう書き終えた
やっぱりかっこいいな、セキュリティ診断員は!
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。