トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

春からセキュリティエンジニアとして働く人たちに伝えたいこと

はじめに

歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。

security.nekotricolor.com

食わず嫌いせずいろんな分野に挑戦しよう

幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。

できないことを悩まない

入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。でもその悩んでいる時間、あなたは止まっていて、周りは前に進んでいます。差はどんどん開いていきます。そもそも、入社時点での差というのはそれまでの人生の差ですので、どうしようもありません。悩むのは三十分くらいで切り上げて手を動かしましょう。何をすればいいのか分からなければ先輩に聞きましょう。

分からないことは分からないと言おう

セキュリティ関係なく、技術者としてこれが一番大事だと私は思っています。自分の知識や技術力については誇張も謙遜もしない。お客さんに聞かれたことが分からないなら、調べて後でお答えします、と言っていいんです。

私は研究機関に勤めていたことがあり、そこでは分からないことを分からないと言わないと大変な目に遭うので普通に言うようになりましたが、意外と言えないって人が多いんですよね。特に若手だと。経験を積んでいくと、それは分からないけどこっちには自信があります、みたいな分野ができてくるので言いやすくなるのかもしれない。私なんかもうマルウェア解析もペンテストもできませんよ。でも調査研究や、初めての案件に道筋をつけるのはまあまあできます。そして得意分野でも、やばいと思えば普通にヘルプを出します。そうしないと、いつまでたっても仕事を任せてもらえません。

とはいえ、SSHが何か分かりません、はさすがにまずいです。新人研修で基本的なことはやるはずですので、そこは押さえておきましょう。一つ一つを深く知る必要はまだないですが、IPAの情報セキュリティマネジメント試験レベルの知識は欲しい。

技術力の貯金をしよう

今はもう休日返上で仕事をするような時代ではなく、勉強も業務時間のみ、プライベートな時間は好きに使う、という風潮のようですが、やはり若いうちに勉強しておいて、技術力の貯金をしておくことを私は勧めたい。

すでに子供がいるとか、重い持病があるとかならなんとか仕事を回すことだけを考えましょう。でも、あなたが健康で、一人暮らしで、ケアする必要のある誰かがいないのであれば、つまり自分の時間を全て自分のために使える状態なのであれば、ほんの少しでいいですから、その時間を勉強にあてて欲しい。そうすれば、転職によるキャリアアップはもちろん、何かあって仕事を辞めることになっても、再就職できる可能性がグッと上がるはずです。私は新人の頃に激務でセキュリティの基礎を叩き込まれたことで、四十代でブランクがあってもセキュリティ業界に戻ってこられました。今ならpwnable.twHack The Boxのようなオンラインサービスや、無料の勉強会やカンファレンスなど、もっと余裕を持って、楽しく勉強できる場がたくさんあります。ちなみに私が一時期講師をやっていたCTF for GIRLSでは、女性限定のワークショップをやっています。男性でも参加できるSECCON Beginnersというのもあります。他に個人的におすすめなのは、体験型演習のMicro Hardening、ガチアナリストが集うJSACです。

コミュニケーションを忌避しない

「コミュ力」という単語を忌避する人がいますが、サラリーマンとしてやっていくにはやはり大事です。別に面白い話をしろとか、人の話に気の利いた返しをしろとかいうことではありません。挨拶する、何か教えてもらったらお礼を言う、ミスしたら謝る、そういう人として基本的なことだけできればいいです。それができなくて許されるのは、リーナス・トーバルズレベルの天才だけです。そのリーナスですら、2018年に自らの行いについて謝罪したことがありますからね。

健康に気をつけよう

急に年寄り臭くなりましたがマジで大事です。学部卒だとしたら二十二歳、すでに体力はピークを過ぎ衰え始めています。あなたはあと四十年以上、衰える一方の体に鞭打って働かなければいけません。ちなみにアラフィフの私はいま腰を痛めていて、座っていられないので昇降デスクで立ちっぱなしで仕事をしています。あと二十年くらいあるのにどうすればいいんですかね?ずっと立ってんの?

特に最近増えているフルリモート(弊社もです)、これはいけません。外に出なくなるので二十代でも簡単に腰をやります。一度やってしまうと、治ってもまたやります。散歩でもラジオ体操でもなんでもいいので、運動を習慣にしましょう。

自分がいま痛めているから腰痛について力説してしまいましたが、関節だけではありません。食事にも気をつけないと、若くても血糖値だ尿酸値だが上がります。食事制限は辛いです。避けられるならそれに越したことはありません。会社の健診は必ず受けましょう。

ま、この辺は何言ってもやらない人は痛い目を見るまでやらないのは分かってるんですけどね。年寄りの勤めとして忠告はしておきます。

おわりに

読み返してみるとセキュリティはあんまり関係なかったですね。とにかく、社会人人生はとてつもなく長いです。健康に気をつけて、頑張るところは頑張りつつ、楽しく乗り切っていきましょう。