弊社（以下、MBSD）は2014年より本格的に新卒採用を開始し、私はその3期目です。本記事では、MBSDの新卒新入社員向けに行われる教育プログラム（いわゆる「新人研修」）について、実際に体験した新人（私）の目線からご紹介したいと思います。

 その前にまずは、私が入社するに至った背景を紹介致します。私は大学で情報工学を専攻いたしました。情報セキュリティには高校生の頃から興味を持ち始めましたが、大学に入学するまでHTTPやApacheすら知らない素人でした。そのような状態から、在学中にプログラミングやネットワークについて学び、セキュリティ・キャンプにも挑戦しました（落選しましたが…）。

 そして、大学4年生になる直前、大学院に進学するか就職するかを思案していたときに、MBSDを知りました。きっかけは@ITに掲載されているMBSD社員が執筆した記事でした。それまで私は「セキュリティ」とは「何かを“対策”すること（「コンサルティング」の要素が強いもの）」だと思っていました。しかし、その記事から“診断”というサービスで情報セキュリティに携われることを知り、MBSDに興味を持ち、入社に至りました。

 それでは本題に戻ります。先述の通り、MBSDは新卒採用を始めてまだ間もない会社ですが、新人育成に多くの時間を割いていると感じています。入社3ヶ月間の研修内容を、時系列でご紹介いたします。

 まず入社してから2週間は、外部の研修機関にお世話になりました（この外部研修には三井物産グループ会社向けの研修も含みます）。他業種、大勢の新卒社員が一堂に会して、挨拶の仕方、名刺の渡し方・受け取り方といった基本的な社会人マナーや、メール・報告書の書き方、上司への報告の仕方といった実践的なトレーニングなど、累計80時間超に及ぶ研修を受講いたしました。毎日、初対面の方とグループを組んで研修を受けるため、常に緊張感がありとてもハードでしたが、今振り返れば、この研修を通じて社会人としての自覚を持ち始めたように思います。

 社外の研修が修了すると、次は配属先ではない部署が主体の社内研修です。そこでは先輩の社員から、MBSDのサービスの1つである“SOC (Security Operation Center)”の解析技術について紹介されました。さらに、トレーニング用の環境でSOCのオペレーションをハンズオンで学びました。トレーニング環境とはいえ、扱うパケットは監視対象そのもの（のコピー）なので、攻撃者の意図や攻撃パケットが垣間見えます。研修当初、診断業務にしか興味がなかった私ですが、この研修で監視業務を体験して、その面白みを肌で感じることができました。また、会社全体でどのようなサービスをどの部署が提供しているのか、入社早々に具体的に知ることができたおかげで、自社の存在意義や、自分が配属された部署の役割をイメージしやすくなりました。さらに、セキュリティ診断を担当するプロフェッショナルサービス事業部から、監視のマネージドサービス事業部に異動した方がいることも知り、「MBSDはキャリアパスを自由に描ける会社である」という利点にも気づくことができました。

 4月最終週、ついに配属先部署による研修です（MBSDでは「部内研修」と呼びます）。プロフェッショナルサービス事業部では、Webアプリケーション診断の他に、ネットワーク診断、スマートフォンアプリ診断など、様々な診断サービスを提供しています（詳しくはこちらをご覧ください）。こうした診断を行えるだけの、セキュリティ技術の習得には、ITの基礎知識が肝要です。という訳でこの研修では、TCP/IPやプログラミングから学びます。この研修を終えると、5月の大型連休は過ぎています。つまり、私が配属されたチームの本業であるWebアプリケーション診断技術の習得の準備として、入社から約1.5ヶ月間は、ひたすら（社会人スキル含め）基礎知識・技術の習得に取り組むことができたのです。

 この部内研修について、もう少し詳しくお話しいたします。研修はおおまかに「ネットワーク」と「プログラミング」の2部構成になっています。ネットワークの研修では、はじめに、OSI参照モデルに代表されるTCP/IPプロトコル群の基礎や、情報セキュリティ基本法・不正アクセス禁止法等の法令遵守、診断員の倫理など、技術や法律を幅広く座学で学びました。

 その後は個人ワークで、資料作成・発表の練習を兼ねた調査課題が課されました。その課題とは「あるネットワークプロトコルについて調査し、スライドにまとめる」というもので、私はTelnetとSSHについて担当しました。これらプロトコルは、ネットワークではいわば“常識”的な存在で、当然私も大学の講義で学びましたし、実際に研究室のサーバ等で利用したこともありました。しかし、調べてみると意外にも奥が深く、新たな発見を数多く得られました（例えば、SSHには仕様が2種類あり、しかもそれぞれにバージョンが複数あって、用いられている暗号方式の違いのために本来それら2つの仕様に互換性はないが、クライアントソフトがその差異を吸収している、という知識を得られました）。

 調査結果をスライドにまとめ終えると、次は発表です。大学の“ゼミ”や“輪講”と呼ばれる形式で、先輩社員を前に、方々の鋭い指摘に何とか受け答えながら、自分の調査したプロトコルについて“講義”しました。

 もう一方のプログラミングの研修もなかなか強敵でした。本人のレベルに合わせて課題を決めていくのですが、私は大学でJavaの経験があったがばかりに、「“Burp Suite”（というプロキシツール）の“Extender”を開発する」という課題に挑戦することを選んでしまい、非常に大変な思いをしました。というのも、こちらをご覧いただくとお分かりいただけますが、Extender開発に関するドキュメントが全て英語で、かつAPIの使い方が少し書いてある程度なのです！（PortSwigger社の方ごめんなさい）このような状況下で「Message Editorをタブに配置し、リクエストとレスポンスを表示する」「リクエストのパスにcgiが含まれていた場合、そのリクエストをProxyタブでInterceptする」のような課題が課され、右往左往、試行錯誤しながら、プログラミングを行いました。

 このような研修を終えた5月中旬ごろ、いよいよ、Webアプリケーション診断の研修が始まります。Burp SuiteやMBSD独自開発の診断ツールの使い方、Webアプリケーション診断の見積りに必要な「サイト巡回」の方法、ツールでは自動検知できない脆弱性の概要や発見方法など、手動診断員になるための研修が、現在も続いています。先輩方は、手順の簡略化やミス防止のために、Extenderやアドオンを自主開発されていて、技術力の差を痛感する日々です。一方で、私の手が止まっていたり、困った場面で悩んでいたりすると、先輩方はすぐに様子を尋ねてくれます。また、こちらの質問1に対し9, 10ものアドバイスが得られます。このような社風・文化は私に合っているので、非常に恵まれた環境だと感じています。

 手動診断員になるための研修は、OJT含め年末ごろまで続きます。MBSDの診断サービスの質を担保するには、最低でも9ヶ月以上は要するようです。1人立ちまでにはまだまだ時間がかかりますが、少しずつできることを増やし、早く先輩方に追いつきたいと思っています。