2020年7月22日水曜日

私はこうやってEGSSに潜り込んだ 他業種中途編


こんにちは、EGセキュアソリューションズ(EGSS)の黒木です。

前回に引き続き「こうやってEGSSに潜り込んだシリーズ」として他業種から中途入社した私(黒木)の事例を紹介します。

他業種から来た中途の人ってどういう人なの?というのを知っていただければと思います。

なお、技術的なお話は一切出てきません。

 

 

いままでのキャリア


EGSSは私にとって3社目の会社になります。

 

1社目では、主にISP事業者のお客様拠点で、サーバの運用保守業務に3年近く従事しました。

24時間365日の交代勤務でシステムに異常がないかチェックし、何かあればサーバにログインして障害対応をしたり、場合によってはデータセンターまでタクシーで駆けつけたりもする仕事でした。

千台を優に超えるサーバがあり、毎日どこかのサーバが壊れていたため非常にやりがいがあったように思います。

余談ですが、この現場では「今日は平和ですね」は帰れなくなるので禁句でした。

 

 

2社目は、主に航空会社のお客様拠点で、EOLシステムの更改プロジェクトや、アプリケーションの配布プロジェクトなどで、サーバ系のプロジェクトを推進していく立場として(最初は見習いからですが、)約3年従事しました。

当初は「バージョンをちょっと上げたり、ぱっとソフトを配るだけでは?」と思った時期もあったような気がしますが、当然ながら実際全くそんな事はありませんでした。

考慮しないとならない人的、システム的もしくは技術的条件、万一の時の影響の大きさ等、難度があがる要素が色々あったように思います。

 

 

そして3社目が弊社EGSSなのですが、上記の通りセキュリティそのものを業務上で担当していた時期はありませんでした。

ではなぜ、私はセキュリティ会社であるEGSSに転職したのでしょうか?

 

 

セキュリティとの関わり


セキュリティを業務上担当することはなくとも、システム開発、運用でセキュリティに一切関わらないということは無いと思います。

私の場合、2社目でシステム開発に携わった際によく考えることになりました。

 

どういったセキュリティ施策があるのか、このシステムに適用できる施策はどれか、どこまでするのが妥当なのか、そもそも有効な施策なのだろうか。等。。

 

システムそのものと違い、セキュリティ対策は無くともシステムを稼働できてしまうので、なおのこと心配になりました。

何かあってからでは、お客様企業やその先の利用者にご迷惑かかってからでは遅いからです。でも無限に時間もお金もかけられません。

 

とはいえ、実のところこれは開発者にとっても管理する側(企業)にとってもよくある心配事ではあるので、開発指針やガイドラインといったもので必要な情報は入手することが容易にできる環境でした。

しかしガイドラインに沿って開発すれば万事解決かというと、必ずしもそうではありません。

適切な知識がなければガイドラインの意図を読み違える可能性がありますし、せっかくのガイドラインを形骸化させてしまう心配もあるからです。

 

 

色々と悩んだ末、確かな考え方や知識を得るためにも私は学生に戻ることにしました。

 

 

学生生活とEGSSへの参画

 

学生に戻ると決めたものの生活はしていかないといけませんので、仕事をしつつ通える東京都立産業技術大学院大学(AIIT)に通うことにしました。

このAIITでシステム開発やセキュリティの勉強をし直すにあたり、手に取った本の1つがいわゆる徳丸本でした。

...はい、私(当時27歳)はここまで徳丸本を知りませんでした。

それまでウェブ周りにあまり関わってこなかった事が大きいと思いたいですが、私が不勉強なだけかもしれません。

 

ともかく読んでみると、なるほどこうやって上手くセキュリティ上の安全を確保しているのだなと思う反面、正しく知っていないと簡単に穴を開けてしまいかねないと理解できました。

また、とある脆弱性学習用のアプリケーションの中で初めてBlindSQLインジェクションを用いて不正ログインが出来た時の心境は、なんとも不思議なものでした。

悪戦苦闘してようやく上手くできたという達成感とは別に、悪用すればこのようにログインできてしまうのかと戦慄した覚えがあります。

これはセキュリティの大切さを「知っている」だけでなく「実感」した瞬間だったような気もします。

 

こうした取り組みを進めるなかで、やはりシステム開発者やサービス提供者はセキュリティはしっかりと理解していないとならないと再認識しました。

そして、セキュリティという分野が面白い領域だと感じ、出遅れを感じつつもセキュリティ業界に潜り込もうと決意しました。

 

そして潜り込み先は、そう思うきっかけとなった徳丸本の中の人の会社...EGSSでした。

EGSSへの応募にあたっては、社長がウェブセキュリティ界隈で有名な人であるし、時折SNS等に鋭いコメントをしているのも見ていましたので、きっと面接で詰められるんじゃなかろうか、そもそも書類審査通らないんじゃなかろうかと胃が痛くなる思いでした。

しかし実際はそんなことはなく、社長直々の実技試験も終始和やかな雰囲気で行われ、無事採用となりました。

私に「EGSSが求人しているからダメもとで受けてみれば?」と、背中を押していただいた研究室の同期に大変感謝しています。

 

 

 

まとめ


他業種からセキュリティ業界に参画するまでの経緯をご紹介しました。

もしかすると、セキュリティ業界に辿り着くまで少々遠回りしたように思われるかもしれません。

しかし、私は今思うとそんなこともないかなと考えています。

 

システム開発における知見、考え方、システムの難しさや、うっかり陥りがちな事など、これらは中々話して伝わるものでは無いと思います。

これらを実感として理解していることは、脆弱性診断やセキュリティコンサルティングを行うにあたり大切なポイントであると考えています。

 

なぜなら、セキュリティを仕事にする者として大切なことの1つとして、「現実的な危険を知らせ、開発者や経営者に正しく理解していただくことで、インターネット環境の安全性向上に寄与し、少しでも被害に遭う利用者を減らす。」というのがあると私は想っており、これらの達成には今までの経験が非常に有益だからです。

 

 

という訳ですので、

「他業種だけれどセキュリティを仕事にしたいと思っている、けれど経験が無いから躊躇している。」

と思っている方もセキュリティ業界でご活躍できる場面は多いと思います。

他業種のご経験はきっと活きると思いますので、是非一歩踏み出してみていただければと思います。

また、その際にはEGSSも選択肢に加えていただけると幸いです。




フォロワー