本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
一見対策がされているように見えて、実は色々工夫することで対策をバイパスして脆弱性を検出できたときは、大きな達成感を感じます。
セキュリティ診断エンジニア T.R.さん
自己紹介
セキュリティ診断エンジニアとしてWebアプリケーションの脆弱性診断に従事しています。通常のWebサイトに加え、スマートフォンのWebAPIの診断も担当します。リモートでお客様の環境にアクセスして作業を行うリモート診断が中心ですが、場合によってはお客様のオフィスなどに伺い、直接お客様の環境に接続して脆弱性診断を実施するオンサイト診断も行うことがあります。また、脆弱性診断の作業だけでなく、診断後の報告書作成やお客様への報告会や問い合わせに対する対応なども診断員の業務です。
転職活動について
前職では、主にSOCに関する業務を2年ほど行っていました。監視分析業務だけでなく、監視機器の導入支援や運用整備、学生やメンバーの教育業務など幅広く経験することができ、非常にやりがいがありました。しかし、セキュリティに興味を持ったきっかけであるCTF(Capture The Flag)のようなオフェンシブなセキュリティの業務をやってみたいと思うようになり、転職活動を始めました。
内定をいただいた企業の中でも、MBSDは特に技術力の高いことで有名な企業だと思っていたので、志望度も最も高かったです。ただ、技術力が高そうな半面、即戦力を求められ教育にはあまり力を入れていないのではないか、という勝手な印象を持っており、少し不安がありました。しかし、一人前の診断員になるための教育にとても力を入れているというお話を面接で伺え、MBSDに入社する決心がつきました。
実際に入社してからは私が想像していた何倍も充実したトレーニングをしていただき、一人前の診断員に成長することができました。MBSDの教育制度に関してはブログも書いていますので、興味のある方は一度読んでいただけると幸いです。
仕事の面白さ・やりがい
単純なSQLインジェクションやクロスサイトスクリプティングを見つけただけでも楽しいですし、一見対策がされているように見えて実は色々工夫することで対策をバイパスして脆弱性を検出できたときは大きな達成感を感じます。
また、脆弱性診断を行うと必然的に様々なWebアプリケーションに触れることができます。誰もが知っているような有名なWebサイトを診断する機会もありますが、そこで非常にリスクの高い脆弱性を見つけることができたときは社内外から感謝をいただけました。一方で、お客様が社内で利用するWebアプリケーションや、消費者側ではなくサービスの提供側が利用するWebアプリケーションなど、普段生活していては絶対に目にすることのないようなWebアプリケーションを診断する機会もあります。そういったWebアプリケーションは見ているだけでとても楽しいですし、初めて見るWebアプリケーションの仕様を把握して脆弱性を探すことも診断の面白いところだと感じます。
今後取り組みたいこと
まずはWebアプリケーション診断を究めたいです。通常のWebアプリケーション診断は攻撃者と同様の視点で診断を行うブラックボックステストが主流ですが、お客様からソースコードをいただいて診断を行うグレーボックステストやホワイトボックステストまで対応できる人材になることが直近の目標です。
また、ゆくゆくはスマホアプリ診断やネットワーク診断、ペネトレーションテストなども経験し、複数の診断サービスを高いレベルで対応できるような診断のプロフェッショナルになることが現時点での夢です。