「セキュリティエンジニアをもっと多くの方に知っていただきたい」というExpress VPN International Ltd.社からのお声がけを受け、同社のプロのセキュリティエンジニアに、本校ネットワークセキュリティ科の学生からの質問にご回答いただいたコラボ企画が実現しました。

ネットワーク・セキュリティ分野のエンジニアは、IT業界の中でも群を抜いて人材不足が深刻化しています。私たちが安心安全にインターネットを利活用するために、日々陰で支えてくれているセキュリティエンジニアについてご紹介いたします。

【セキュリティエンジニアとは】
様々な情報が保存されているサーバーに関連する業務や情報セキュリティを専門に担当するエンジニアです。 ITの基盤となるサーバーの構築や運用・保守を専門とし、セキュリティに配慮したシステム設計・運用、未然にサイバー攻撃を防ぐための調査や対策などを行います。俗にいうホワイトハッカーです。

◆ネットワークセキュリティ科学生から現役セキュリティエンジニアへインタビュー

Ｑ：どういう脆弱性（トラブル）に立ち合い、どう対応しましたか？
Ａ：①ウェブアプリと②ネットワークの脆弱性が主ですね。
弊社は内容によって部署が細分化されているため、①についてはウェブアプリチームに報告し、脆弱性の詳細を記載したチケットを発行して脆弱性を修正できるようにします。

②については、通常、当社のインフラをスキャンすることで発見されます。エンジニアに報告し、チケットを発行して対処してもらいます。

そのほかにも、使用しているツールやアプリで報告される脆弱性もあります。
これらは、緊急性に応じて、ITチームと協力して、該当するツールやアプリを使用しているすべてのユーザーにパッチやアップデートを提供します。

Ｑ：エンジニアとして働く中で英語などの外国語は必要ですか？
Ａ：一般的には必要です。なぜなら、ほとんどのサイバーセキュリティ関連情報は英語で書かれているか、翻訳前の原文が英語で書かれているためです。
同じような情報が日本語などの現地語に翻訳されていても、英語を知っていれば、海外で同じような関心を持つ人々と交流し、より広いコミュニティから学ぶことができます。

Ｑ：専門学校の学生にどの程度の知識、技術があることを望みますか？
Ａ：「学びたい、成長したい」という意欲があれば、知識は身につくと信じています。
実務経験をお持ちの方は、少なくとも以下のスキルや経験を期待します。

【スキル一例】
・ソフトウェアエンジニアリング全般
・パブリッククラウド
・ネットワーク関連業務
・インターネットの仕組みの理解
・脅威モデリング
・問題解決、批判的思考、時間管理、コミュニケーションなどのスキルも重要です

Ｑ：ISMS（Information Security Management Systemの略／情報セキュリティマネジメント）などのセキュリティポリシーを覚えることは必要ですか？
Ａ：一般的には必要ありませんが、日常生活や業務でベストプラクティスを取り入れることで、それを自分の常識として活用できます。そうすれば、セキュリティの弱点を見つけることが自然にできるようになります。

Ｑ：セキュリティエンジニアのキャリアにおいて、優先して取得するべき資格はありますか？
Ａ：企業や業界によって異なりますが、OSCP（Offensive Security Certified Professional）など、より実用的な資格や実践的な資格が好まれます。

Ｑ：本やニュースを見る等、日頃から気をつけていることはありますか？
Ａ：主に”業界のトレンドを追うこと（情報収集）”や、”常に学習する（自分自身を成長させる）こと”ですね。

●業界のトレンドを追うために、下記のような方法で情報を集めています。
セキュリティに関するニュースをチェックし、脆弱性や悪用技術がどのように進化してきたかを観察しています

【OWASP Top 10】
最も一般的な脆弱性をチェックしています。
https://owasp.org/Top10/ja/
※OWASP（オワスプ：Open Web Application Security Projectの略：国際ウェブセキュリティ標準機構）とは、ソフトウェアのセキュリティ向上を目的とする非営利財団です。同団体がWebアプリケーションに関する脆弱性やリスク、攻撃手法などを２～３年間で調査・分析を行ったうちTOP10位までを紹介したセキュリティレポートが「OWASP Top 10」です。

【セキュリティ関連のポッドキャスト – Darknet Diaries、Security This Week】
私の個人的なリスニングリストなので、すべての人に適しているとは限りません。あくまでもご参考までに。
https://darknetdiaries.com/

●CTF（キャプチャー・ザ・フラッグ）※への参加
※CTF（キャプチャー・ザ・フラッグ）とは、情報セキュリティ業界で実施されているハッキングコンテスト。専門知識や技術を駆使して隠されているFlag（答え）を見つけ出し、時間内に獲得した合計点数を競い合います。

●セキュリティツールをテストするためのホームラボを設置し、テクノロジーの変化に対応するためのツールの進化を学習しています。

●書籍からも情報を得ています。テクノロジー関連ほど急速に発展しないプロセス関連の情報においては書籍も役立ちます。

Ｑ：学生時代に戻れたら、セキュリティエンジニアになりたいですか？
Ａ：間違いなくそう思います。5年前、自分がサイバーセキュリティエンジニアになるとは思っていませんでしたが、時間が経つにつれて関心が高まりました。もし過去に戻れるなら、一からサイバーセキュリティについて学ぶことにもっと時間を費やすでしょう。

今回のコラボ記事を読まれて、もっとセキュリティエンジニアを知りたいと思われたら、ExpressVPN公式サイト「ExpressVPNのセキュリティエンジニアが語る仕事内容と資格」も、ぜひご一読ください。
 

【ExpressVPNとは】
安全性と通信速度が業界最高クラスであると国内外問わず高い評価を得ているVPN（バーチャルプライベートネットワーク）サービスが「ExpressVPN」です。英領ヴァージン諸島を拠点としているExpress VPN International Ltd.社が提供しています。

【関連サイト】
◆ネットワークセキュリティ科　学科詳細　》
◆夜間部ネットワークセキュリティ科　学科詳細　》