1. 始めに
こんにちは、morioka12 です。
本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。
想定読者
- セキュリティ分野の学習をしている学生
- 脆弱性診断やペネトレーションテストなどのセキュリティ業務に興味がある方
また、本ブログの内容は、所属する学校のセキュリティに興味がある後輩に向けて、就活に関する話をした際の内容を元に記載しています。
筆者のバックグラウンド
- 専門学校の4年生
- Web Security や Cloud Security などのセキュリティ分野について学習している学生
- セキュリティ・キャンプ全国大会や SecHack365 などの修了生
- 2024年4月からベンダー企業で新卒のセキュリティエンジニアとして就職予定
- 業務: 脆弱性診断やペネトレーションテストなど
2. セキュリティエンジニアとは
セキュリティエンジニア(Security Engineer)とは、情報セキュリティやサイバーセキュリティに特化した技術者のことで、組織やシステム・サービスなどのセキュリティを確保して、情報資産を守るためのエンジニアを指します。
セキュリティに関する業務と言っても、職となる業務内容は幅広く様々あり、全部は紹介できないため、例えば以下のようなものがあります。
- 脆弱性診断・ペネトレーションテスト
- 対象のシステムやサービスにセキュリティ問題(脆弱性)がないかの調査と報告を行う
- SOC (Security Operation Center)
- CSIRT (Computer Security Incident Response Team)
- 企業や組織内のセキュリティインシデントの対応や監視を行う
- PSIRT (Product Security Incident Response Team)
- 自社が提供する製品やサービスに関するセキュリティインシデントの対応や脆弱性管理を行う
- フォレンジック・インシデント対応(IR)
- サイバー攻撃やマルウェア感染などのセキュリティインシデントが発生した際に緊急対応や詳細な調査を行う
- セキュリティ製品の開発
- アンチウイルスソフトやセキュリティ問題を解決するための製品、トレーニングコンテンツの開発を行う
- セキュリティ教育
- セキュリティに関する技術や啓発などの教育を行う
- セキュリティコンサルティング
- セキュリティに関するコンサルや運用支援を行う
- 警察
- サイバー犯罪に関する捜査や対策を行う
脆弱性診断・ペネトレーションテスト
脆弱性診断やペネトレーションテストは、対象のシステムやサービスにセキュリティ問題(脆弱性)がないかの調査と報告などを行います。
調査を行う対象は様々あり、主に以下のような分野があります。
- Web アプリケーション
- スマートフォンアプリケーション (Android・iOS)
- デスクトップアプリケーション (Windows・Mac)
- プラットフォーム (ネットワーク)
- クラウド
- ゲームチート
- Web3
- 組み込み機器 (IoT)
- OT (Operational Technology)システム
- 自動車
- 社内システム
また、高度な診断となってくると、以下のような業務があります。
- ペネトレーションテスト
- 脅威ベース(TLPT)
- Red Team
詳しくは、「3.1 企業候補」で紹介する各セキュリティ企業のホームページにあるサービス一覧をご覧ください。
ちなみに、職業情報提供サイト(日本版O-NET)に「セキュリティエキスパート(脆弱性診断)」という職業紹介のページがあります。
https://shigoto.mhlw.go.jp/User/Occupation/Detail/520shigoto.mhlw.go.jp
他にも、OWASP Japan が公開している「脆弱性診断士スキルマッププロジェクト」というドキュメントもあるため、こちらも参考になるかと思います。
3. セキュリティエンジニア志望の就活
本ブログでは、業務内容が「脆弱性診断・ペネトレーションテスト」のセキュリティエンジニアに焦点を当てて、新卒時の就活に関する内容を経験をもとに紹介します。
(中途採用の就活は、未経験のため何も言えませんが、少しは参考になるかと思います。)
3.1 企業候補
就職先の候補を探す際は、主に以下のようなところから企業調査を行うと良いと思います。
セキュリティイベント
セキュリティ系のイベントに協賛している企業は、会社としてもセキュリティを前向きに捉えている企業が多い印象のため、候補先としてはとても良いと思います。
主に見ていたセキュリティイベントは、以下の3つです。
- セキュリティ・キャンプ
- CODE BLUE
- SECCON
ちなみに、学生の方で「セキュリティ・キャンプ全国大会の受講生」や「CODE BLUE の学生スタッフ」として参加できると、イベント内で協賛企業の方との交流会があります。
そこでは、実際にその企業のエンジニアの方と直接話すことができるため、とても有益な場になります。
JNSA
また、「日本ネットワークセキュリティ協会 (JNSA)」という特定非営利活動法人があり、そこでは JNSA Internship という学生向けの「産学情報セキュリティ人材育成交流会」が開かれているそうです。
インターンシップに興味をもっている学生がインターンシップの受入れ企業と交流できる場所を提供し、長期インターンシップに関わる不安等を解消することを目的として、2023年12月2日(土)に「産学情報セキュリティ人材育成交流会」を開催いたします。
日本ネットワークセキュリティ協会には、会員企業が存在して、そこからも情報セキュリティに係わる企業の一覧を見ることができます。
情報セキュリティサービス台帳
情報セキュリティサービス台帳とは、経済産業省が定めた「情報セキュリティサービス基準」への適合性を当情報セキュリティサービス基準審査登録委員会が審査して、適合とされたサービスを掲載するものです。
その中に、「脆弱性診断サービス」という一覧があり、脆弱性診断のサービスを提供している企業の一覧で見ることができます。
JVN
JVN (Japan Vulnerability Notes)とは、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供して、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
ここで、実際にあった脆弱性報告に報告者の所属会社が記載されているものもあるため、脆弱性調査を行なっている方がどこの企業に在籍されているかを知ることができ、候補先として参考になるかと思います。
一般社団法人日本ハッカー協会
一般社団法人日本ハッカー協会とは、情報セキュリティ、システム開発、IoT などさまざまな分野で活躍されるハッカーの皆様が安心して新しい取り組みに挑戦でき、活動に邁進できる社会を目指し、ハッカーの地位向上とハッカーの活躍によるネット社会の安全と健全な発展に貢献している組織です。
ここでは、主に中途採用の転職者向けに求人がでていますが、企業調査として見ていたりしました。
公務員
ちなみに、公務員や国家公務員でセキュリティに関する職業も以下のようにいくつかあります。
デジタル庁の脆弱性診断士などは「実務経験数」などが応募条件に入っていたりするため、中途採用向けだったりしますが、要件などは参考になるかと思います。
また、デジタル庁は、以下の「政府情報システムにおける脆弱性診断導入ガイドライン」という PDF を公開していて、脆弱性診断に関して参考なる資料かと思います。
3.2 ユーザー企業・ベンダー企業
脆弱性診断のメインである「脆弱性を探す業務」に関しては、ユーザー企業とベンダー企業のどちらでも職としてはあります。
主な違いとしては、以下のような点があります。
- ユーザー企業
- 自社の製品やサービスに対して脆弱性診断を行う
- リリース前後だけでなく、設計・開発・運用の段階でもセキュリティ視点で関わることができる
- ベンダー企業
どちら側のセキュリティエンジニアでも業務内容や得れる実務経験に関しては、特徴やメリット・デメリットがあると思いますが、ここら辺は好みかと思います。
3.3 企業ホームページ
いくつか気になる企業が見つかった場合は、その企業のホームページに記載があるサービス一覧や求人などを見るかと思います。
脆弱性診断を提供する企業はいくつもありますが、各会社のサービスには少なからず「サービスの特徴」があると思います。
特にベンダー企業では、企業側もサービスの差別化をしていたりするため、そこで働くセキュリティエンジニアの業務にも差別化された内容に少しでもなっていると思います。
ユーザー企業のセキュリティチームでも、その企業で使われている技術や環境などは異なるため、特徴が表れていると思います。
そのため、サービスの特徴を見たり、求人ページからどのような人材を求めているか、社風や福利厚生などを見て、気になる企業を選ぶと良いと思います。
また、会社が掲げているビジョンを見て、会社がどういうことに念頭にしているかも、気にしてみると良いと思います。
採用応募する前に、できればカジュアル面談を申し込んでみると、より具体的なイメージを持つことができると思います。
技術ブログ
その企業に技術ブログがある場合は、技術ブログも見てみると良いと思います。
技術ブログは、所属するセキュリティエンジニアの方が執筆していることが多いため、どういうスキルの持った方が在籍しているかを知ることができます。
また、一般に公開されている「新卒の研修資料」もあれば、一緒に見てみると良いと思います。
3.4 求められるスキル
具体的に気になる企業が見つかった場合は、その企業の求人にある「求められるスキル」や「望ましい経験」を特に見てみると良いと思います。
どういったスキルや経験を持った人を歓迎しているのかを早い段階から知れれば、そのための学習や準備をすることが可能となります。
ある程度のやりたい業務などが定まった段階で、業界調査や企業調査を行い、どういった人材やスキルが求められているのかを知った上で、学習に取り組めるととても良いと思います。
4. morioka12 の就活話
僕は、3年生になる前の春休み前くらい(2月頃)から、就活のための準備をし始めていました。
4.1 気になる企業をリストアップ
1年生の頃から気になる企業は、リストアップして情報収集などを行なっていましたが、3年生になる前に気になる企業を10社ほどまで絞りました。
この際は、単に「新卒で入ってみたい」というわけではなく、セキュリティ視点で興味がある企業を10社ほどに絞りました。
主に、その企業にもし入社したらどういう業務を経験できそうかを主軸に考えて、リストアップしました。
また、それに合わせて、毎年のサマーインターンシップなども調べていました。
4.2 カジュアル面談
次に、気になる企業のリストから、あまり知らない5社ほどと新卒採用の応募前にカジュアル面談を行いました。
カジュアル面談は、サマーインターンで参加した際に行われたり、自分から採用の問い合わせフォームから申し出たり、イベントで知り合ったエンジニアづてで開いてもらったりしました。
そこでは、主にエンジニアの方と具体的な業務内容や特徴などを、質疑応答スタイルで簡単に面談を行なってもらい、会社のイメージを具体化することができました。
また、カジュアル面談をする際のポイントとなったことは、もし入社した場合のポジションをイメージできたことです。
特に自分の場合は「どのような部(課)に配属できそう」で「どのような業務が経験できるか」をよりイメージできたことはとても良かったと思います。
4.3 新卒採用
次に、3年生の秋頃から始めに興味のあった10社の中から4社の企業と正式な就活を行いました。
具体定には、セキュリティチームがある「ユーザー企業: 2社」とセキュリティ専門の「ベンダー企業: 2社」と就活をして、内定をいただきました。
カジュアル面談も含めたリアルな流れは、以下のような感じでした。
- ベンダー1: 社長面談 → 内定
- (前提: 長期インターンで働いていた)
- ベンダー2: 社長面談 → エントリーシートの提出 → 課長面接 → 内定
- ユーザー1: 2次面接 → 部長面接 → 内定
- (前提: サマーインターンに参加して書類選考と1次面接が免除された)
- ユーザー2: 書類選考 → 1次面接 → 2次面接 → Web テスト → 社長面接 → 内定
内定後にも手厚い面談をしていただき、最終的にベンダー企業からの内定を承諾しました。
(ちなみに、就活中は一度もスーツを着る機会がなく、基本的に「カジュアルな格好で」という指定が逆にあるくらいでした。)
また、就活を通して、今まで取り組んできた内容や経験を多くの方に評価・コメントしてもらうことができ、改めて自分のスキルなどを認識することができました。
とても良い経験になり、ありがとうございましたの気持ちです。
5. セキュリティエンジニアを目指す就活生へ (まとめ)
以上の経験をもとに、セキュリティエンジニアに興味のある学生は、以下のような点を意識しておくと個人的には良いと思います。
5.1 セキュリティ業界を知ろう
世の中には、どういう企業があり、どういう職業があり、どういうサービスがあり、どういう業務があるのか、などを自分から調べてみましょう。
その中から興味のある企業や職種をいくつか選んで目星を付けておくと良いと思います。
また、同じ脆弱性診断名でも会社ごとに異なるアプローチや特徴がサービスにあることが多いため、差別化されたサービスの特徴や技術ブログなどからその会社の技術力を見ることもおすすめします。
5.2 セキュリティイベントに参加しよう
セキュリティイベントに参加すれば、企業のエンジニアの方と話せる機会が生まれるため、積極的に参加しましょう。
そのチャンスを有効的に使って、会社の話や業務内容、社風などを聞いたりすると良いと思います。
また、就活は新卒のタイミングだけでなく、社会人になってからの「転職」にも色々なエンジニアとの交流は大いに活かせると思います。
例えば、以下のようなセキュリティイベントがあります。
- セキュリティ・キャンプ全国大会
- セキュリティ・ミニキャンプ (地方大会)
- SecHack365
- CODE BLUE (学生スタッフ)
- SECCON
- AVTokyo
- Hardening Project
- connpass
ちなみに、有志で一般公開されている「Security Event in Japan」というセキュリティ系のイベントがまとまった Google カレンダーがあったりします。
この Google カレンダーのポリシーは、以下のブログで公開されています。
5.3 求められる人材を知ろう
各企業の求人から、どういう人材やスキル・経験を持った人を求めているかを知りましょう。
早めに知れれば、そのための学習時間も確保できたり、アピールするための準備ができるかもしれません。
また、新卒の求人だけでなく、転職者向けの中途採用の求人も見ておくと良いです。
中途採用で求められているスキルや経験も知っておくと、さらに今後のキャリアパスとしてのイメージをしやすくなります。
セキュリティ分野を学習する上で大事な点
セキュリティ分野の学習をする上で大事だと思う点は、セキュリティだけを念頭に学習しないことです。
セキュリティはあくまで、何かの分野や技術があった上で、生まれる(成り立つ)ものだと思います。
そのため、例えば Web Security に興味がある場合は、基礎となる Web 技術や Web アプリケーションが動くクラウド技術なども学習しておくと、とても良いと思います。
超セキュリティ入門
初めてセキュリティ分野を学習する際は、以下の2点がオンラインで手軽に取り組めるため、とてもおすすめです。
また、Web Security に関しては、以下の「バグバウンティ入門(始め方)」のブログでおすすめの書籍やコンテンツなどの学習教材を紹介しています。
https://scgajge12.hatenablog.com/entry/bugbounty_beginner#Web-Security-%E3%81%AE%E5%A0%B4%E5%90%88
また、Mobile Security に関しては、以下の「バグバウンティにおけるモバイルアプリの脆弱性報告の事例まとめ」のブログでおすすめのコンテンツなどの学習教材を紹介しています。
5.4 アピールできる取り組みをしよう
就活を始める前までに、何か自分が取り組んできたことで少しでもアピールできることを作っておきましょう。
アピールできる点はその人に合ったことでなんでも良いかと思いますが、例えば以下のような点があると思います。
- CTF の大会で上位にランクインする
- IPA の「情報処理安全確保支援士」や OffSec の「OSCP」などの資格を取得する
- 研究内容で成果を出す
- IPA の「セキュリティ・キャンプ全国大会」に受かって参加する
- コンテストやハッカソンに参加する (入賞する)
- 外部イベントで登壇する
- サマーインターンシップやウィンターインターンシップなどに参加する
- 長期インターンシップや技術アルバイトで実務経験を積む
- OSS を対象に脆弱性調査をして CVE ID を取得する
- バグバウンティプラットフォームで脆弱性調査をして報酬金を獲得する
また、何か一つでも自信を持てる分野やスキルがあると、とても良いと思います。
アウトプット
セキュリティの学習において、常に新しい技術や脆弱性情報などの「インプット」も大事ですが、それに合わせて「アウトプット」も大事かと思います。
アウトプットと言っても、そこまでハードルの高いことばかりではなく、簡単なものでも全然良いと思います。
例えば、以下のようなアウトプットの形があると思います。
- 勉強したことや取り組んだこと、取得した資格の合格記などをブログとしてまとめて公開する
- CTF や Hack The Box で解いた問題の解法(Writeup)をブログで公開する
- 外部イベントなどで登壇する
- コンテストや大会で入賞する
- 開発したものを公開する
個人的には、「ブログの執筆」が手軽にアウトプットできるものだと思います。
ブログを書いて公開することのメリットだと思う点は主に以下のような点です。
- インプットしたことを整理することができる
- 取り組み成果として記録を残すことができる
- 業界の方や同じように取り組まれている方に認知してもらえる
- ブログの内容に関する登壇オファーがくる可能性がある
- ブログを見た誰かが参考にしてもらえる可能性がある
僕の場合もブログを書いて公開することで認知してもらったり、就活の際にもアウトプットとして話の話題にもなりました。
僕が学生中に書いたブログは、以下のようにまとめたものがあります。
バグハント (CVE)
少しハードルがありますが、実際に OSS を対象に脆弱性の調査をして、報告してみるのも良いと思います。
そして、CVE ID の取得まで至れると、良いアピールになると思います。
特に、有名な OSS や Github star が多い対象などで脆弱性を見つけられると、高く評価されやすいと思います。
詳しくは、以下をご覧ください。
バグバウンティ
さらにハードルがありますが、バグバウンティプラットフォームで脆弱性の調査と報告をしてみるのも良いと思います。
そして、報酬金の獲得まで至れると、良いアピールになると思います。
特に、脆弱性の重大度(リスクレベル)が Critical や High などで脆弱性を見つけられると、高く評価されやすいと思います。
詳しくは、以下をご覧ください。
ちなみに、Web Security に関する学習コンテンツやロードマップも以下で紹介しています。
また、Mobile Security に関しては、以下で紹介しています。
5.5 習慣的に情報収集をしよう
イベントや就活情報は、早めに知ってるか・知らないかで大きな差が生まれることがあります。(見逃したり、定員オーバーだったり、など)
そのため、常に情報収集は自分から習慣的にしておくと、とても良いと思います。
日本だと X (Twitter)で情報発信している企業やエンジニアの方が多いためフォローしておいたり、毎年あるイベントや応募開始時期などは、前年度の日程を参考にカレンダーをセットしておいたりすると良いかと思います。
例えば、サマーインターンシップの応募は「4・5月頃から」だったり、新卒採用の早期採用は「10月頃から」だったりします。
この辺も事前に確認したりしておくと良いと思います。
6. 終わりに
本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介しました。
セキュリティエンジニアに興味のある学生や就活する方に、少しでも参考になれば幸いです。
ここまでお読みいただきありがとうございました。
