ITセキュリティへ

セキュリティと一言に言っても範囲が結構広いです。 資格自体に意味は無いと思いますが、情報セキュリティスペシャリスト（旧情報セキュリティアドミニストレータ）試験の勉強をしてみると感じがわかると思います。 キャリアは営業3年、サーバ構築3年、ネットワーク構築3年で ネットワークの一環でセキュリティ構築もやってます。

セキュリティに特化といっても、範囲は広いのがセキュリティのせかいです。ITポリスはよくわかりませんが、アプリ～ネットワークまでいろんな製品があります。IDSなどの不正アクセス検知や、ウィルス対策やスパム対策、サーバの堅牢化、ハッキング対策、監査対策、クライアントセキュリティなどなどなど・・広いので海みたいなものです。 また、セキュリティに特化した、というところが売りのITセキュリティの会社を研究しどういう人材が望まれているのかを調べてみるのもよいと思います。情報セキュリティアドミニストレータはユーザ側なのでどちらかというとテクニカルの情報セキュリティ試験の勉強をお奨めします。サーバ構築系で進みたいならそちらに特化していくとか。基盤系なんですかね。 私は3年半サーバ構築やデータセンターでの業務をした後、ネットワークもやりたかったのでITセキュリティ系会社に入り、4年ぐらいFWなどいじりつつ構築・提案をしてます。転職が一番早いとおもいますよ。 でも、ITセキュリティの会社に入って肩書きがコンサルタントでも、「これってセキュリティなの・・・？」という仕事が8割です。

私の経験が参考になるかは不明ですが、私はあなたが憧れとして書いた両方のキャリアを持っています。 今は、外資系でリスク管理部長をやっています。 30歳未満なら多分今からセキュリティの専門家になることは可能です。 まず、あなたに必要なものは、経産省の情報処理試験の上位資格です。それも、最も高い難度の資格でなければなりません。これが特捜官への最低限のパスポートであると共に、他社に転職する際に優位性になります。資格は業務能力とはほとんど関係ありませんが、32歳くらいまでの採用に関しては優位になるはずです。 長文のため、続きます。

セキュリティに関しても業務分野は多様なので、得意分野を決めた上で、確立すべきです。その分野は実務経験を背景とすることが求められます。誰にどんな質問をされても、専門家として答えられるレベルであることです。実務経験を持つということは、換言すればどれだけ多くの障害を経験し、その解決を図ってきたかです。単なる作業ではなく、どういう意図でどういう手順で、次はどうするか、常に意識しなければなりません。真の専門家はいくつかのコマンドだけでネットワーク障害を解決できますが、単なる技術者では作業に半日かかることもよくあることです。 セキュリティコンサルタントは、お勧めはしません。その理由は、真の専門家でない限り、セキュリティ以外の業務を含むからです。ほとんどの場合、それだけでは利益を挙げられません。むしろ事業会社でセキュリティの責任者になる方が希望にかなうでしょう。同時に、あなたが憧れとしている職業に就いたときのことを考えて、フォレンジックに関する知識を学んでおけばいいでしょう。これはセキュリティとは別方向の知識になりますので、あなたの知識の幅を広げることになると思います。 がんばってください。

アドバイス有難うございます。 セキュリティコンサルタントは総合的にセキュリティに関わる仕事と思っていました。目から鱗でした。 とにかく現場で経験を積んでいこうと思います。 その前に得意とできる分野を見極めたいと思いますが、大まかにどのような分野があり、どのような人が向いているのか経験から教えていただける事はありますでしょうか？

専門分野に関しては、自分が興味を持った分野を突っ込んで調べていくのがもっとも確実で、現実的でしょう。実務経験は会社から与えられるものではなく、自分で進んで経験していくものです。学んだ知識を実践していくのが基本ですが、単にセキュリティだけを考えて運用管理を行うと、いわゆるサーバモンキーと言われる存在になるかもしれません。そうならないためには、いつも利用者のことも考えて、対処をする必要もあります。 セキュリティの範囲が広いということは、多くの業務の中にもセキュリティの要素があるということでもあります。たとえば、Cでシステム開発をするなら、その中でBOFを起こさないための開発手順や教育を考え、それを提案する。もしサーバ運用しているなら、そのシステムログを解析し、負荷のかかっている要素を分析する、あるいはそのためのツールを作る。サーバの生死の確認を行うための簡単なツールを作る。それらの成果を会社に役立てるために、いろいろな(コストのかからない)提案を行う、など、です。それらは必ずあなたの力になるでしょう。その中で、自分がより深めていくべき知識は自然と分かっていくことでしょう。

もし時間があるなら次の質問に答えてみてください。これは占いのようなものです。 質問 基幹システムのサーバの応答が極めて遅くなったと数件の苦情がありました。今すぐ回答を求められています。まず何をしますか 回答 1 ネットワーク構成図を要求し、トラフィック等を調査しボトルネックを調べる 2 該当サーバのサービスと各CPU使用率等を調べさせどのサービスが原因か調べる 3 各ユーザにインタビューを行い、事実関係を調査する 4 該当クライアントを調査し適切な環境か確認する 5 サーバやFWのログ等を確認させ、システム利用状況を確認する 6 利用ユーザ数の推移を確認させ、負荷を調査する 7 ユーザの利用方法を確認し、その手続きを確認する 8 最近変更したシステム環境を確認する。 このほかにも無数の回答が考えられます。どんな回答を最初に選ぶかで、まず一歩進むべき方向が分かると思いませんか？　限定された情報の中で対処を求められるのは現実でもよくあり、その対応でその人の見識を問われます。あえて分野に関して、明言を避けているのは、あなた自身がそれを考えて選ぶべきだからです。

同じ会社で経験を積むのが意外といいような気もします。 というのは、サーバーの構築管理をする過程でセキュリティを考えないわけにはいかないはず。全く社内でしか利用しないサーバーなら厳格ではないかもしれませんが、グループウエアを社外からパソコンで使いたいとか、会社のホームページを公開しているとか、そういうことがあれば何かしらセキュリティにかかわる機会があると思います。そういうのの担当をしている方と一緒に仕事をしたり、しくみを教えてもらったりということはできませんか。 他にもたとえば会社でメールは使いますか。使うなら(本当は「使わなくても」だけど)ウイルス対策ソフトが必要ですよね。通信チェックソフトも必要? セキュリティって本当に幅が広いけど、会社の中にもタネはいろいろありますよ。そういうのを勉強して経験を積むほうが転職には有効かも。 かくいう私は複数の会社でシステム開発に17年ほど従事したのち、今は人事や総務などの管理セクションにいます。現職は人が少ない会社なのでシステム関連の支援もします。開発は汎用機からウェブアプリケーションまで行いました。その過程でセキュリティ知識を得ました。

皆様、貴重なアドバイスを頂きありがとうございます。 身近なものから考え経験をつんでいくと同時に資格の勉強もしていこうと思います。 確かに今の会社でまだまだ学べる物や改良できるものはあると思うので、もう1ー2年は働こうと思います。 アドバイス本当にどうもありがとうございました。

もし、本気でITセキュリティの専門家になりたければ、ハッキングの技術、知識を深めてください。 その知識がなければ、セキュリティを突破されても足跡を消されたら追跡できなくなります。 結局は、セキュリティ専門家は、ハッカー以上のハッキングのスキルを持っていないと使い物にならないということを肝に銘じてください。 そこまで、覚悟してやられるのでしたら非常に面白い世界です。 このレベルに到達すれば、黙っていても向こうから仕事のお誘いが超高待遇で飛んできます。