セキュリティを学ぶ大学生や専門学生の皆さん、こんにちは!
セキュリティ業界に就職したいけど、何を勉強するべきなのか分からない人は多いのではないでしょうか。
私自身も学生時代に次のような不安を抱えていました。
- 勉強範囲が広すぎて何から勉強するべきなのか分からない
- キャリアの具体的なイメージが付かず、就職活動に何が役立つのか分からない
そんな私は今では、ITベンチャー企業や外資系企業でセキュリティコンサルタントとして働き、早4年になります。
本記事では、大学生や専門学生に向けて、将来の就職を見据えて何をしておくべきなのかをご紹介したいと思います。
セキュリティのキャリアはイメージが難しい
まず、皆さんはセキュリティ業界でどのような仕事がしたいでしょうか。
ペネトレーションテスターですか?
コンサルタントですか?
セキュリティアナリストですか?
しかし、学生がこのようなセキュリティの仕事を具体的にイメージするのは大変難しいです。
それは、主に次の理由が関係しています。
- セキュリティの職種は広範囲かつ複雑化している
- 仕事に必要なスキルや勉強方法が定義されていない
そのため、インターネットで検索しても、期待するような情報がでないのもある意味当然なんですよね。
学生時代に経験しておくべきことは?
私も学生時代はセキュリティの勉強に凄く苦労しました。
まず、何を勉強すれば良いのかが不明瞭でした。
主に書籍で勉強を行うのですが、「これって本当に必要な知識なの?」とか「そもそも難しすぎる…」と感じてしまい、途中で辞めてしまうことが凄く多かったです。
そんな私が就職した今、学生におすすめすることは次の3つです。
- キャリアの解像度を高める
- 技術やソフトスキルを向上させる
特に、1はかなり重要で、見落としてる人が非常多いと感じています。
まずは、自分がなりたいキャリアのイメージを具体化させることが何よりも一番優先です。
実際、外から見たものと、中から見えるものは全く異なるときがよくあります。
特にセキュリティの仕事は意外と地味なことが多いです。
例えば、ペネトレーションテストや脆弱性診断は外から見たらカッコよく映りがちですが、実際のところはガイドラインの読み込み、クライアントとの診断準備や資料作成等が大部分の時間を占めます。
もしかしたら、技術を極めたい人にとっては期待してきた仕事ではないかもしれません。
就職する前に、本当に自分がやりたい仕事なのかを明確にしておくことが重要です。
また、自分がなりたいキャリアを具体化したうえで、何が必要なのかを自分なりに整理して、活動することが学生時代にやるべきことです。
そこで、以降では具体的な方法を紹介したいと思います。
キャリアの解像度を上げる
IT企業で中長期のアルバイトをする
もしかしたら短期のインターンは経験したことがあるかもしれません。
しかし、短期インターンでは具体的なキャリアイメージをつけることは難しいです。
なぜなら、多くは「インター用に準備されたワークショップ」をこなすことが求められ、実務を経験できないからです。
そこでおすすめなのは、IT企業で中長期のアルバイトをすることです。こうすることで、正社員と同じように実際の業務を経験することです。
さらに、自分が目標とするキャリアの解像度が上がるだけではなく、技術力の向上も期待できます。
また、アルバイトで実務経験を積むことで、就職活動においても凄く評価されます。
OB・OG訪問を積極的にする
では、IT企業でアルバイトすることが難しい人はどうすれば良いでしょうか。
それは、大学のキャリア相談室などで、OB・OGを紹介してもらい、実際に働いている人に会いに行くのもオススメです。
先輩の話を聞くことで、皆さんが本当にやりたい仕事なのかどうかヒントを得ることができます。
(話を聞いても全くワクワクしなければ、そもそも期待するような仕事ではないのかもしれません)
また、キャリア相談室などが無ければ、SNS上で興味のある人にコンタクトを取ってみても良いと思います。
Twitterなどでコンタクトを取れば、意外と質問に答えてくれたり、オンラインなどで対応してもらえると思います。
必要な知識、スキルを身につける
サイバーセキュリティ全ての業務に共通して求められるスキルとは主に次のようなものです。
- IT、セキュリティ知識、スキル
- 論理的思考力
注意点としては、技術だけできても、ビジネスでは上手くいかないということです。
技術的なことを分かりやすく論理的に説明して初めて価値を生むことができます。
このようなスキルを向上させるために、おすすめの方法を解説します。
サーバやネットワークの構築・運用経験を積む
セキュリティは座学で勉強するのではなく、実際に手を動かして学ぶことが重要です。
何故なら、セキュリティは範囲がとても広く、一度記憶してもすぐに忘れてしまうからです。
情報処理安全確保支援士という資格がありますが、技術的な知識を整理するには良い資格である一方で、勉強範囲が広範囲で、実際の中身を理解しずらいので、学んでも人に説明できなかったり、試験が終われば忘れてしまう人も多いのではないでしょうか。
実際に使える知識やスキルを習得するためには、手を動かし、細かい設定などを経験することが重要です。
サーバやネットワークを実際に手を動かしながら学ぶおすすめの方法としては下記がオススメです。
- 研究室などのネットワーク管理者を引き受ける
- 自宅やクラウド環境にサーバを構築してみる
サイバーセキュリティの資格を取得する
資格を取得する意味は2つあります。
- 就職活動時にアピールするため
- スキルを向上させるため
1の意味では、情報処理安全確保支援士は良いですが、おすすめはグローバル共通の資格を取ることです。
グローバル共通資格である方が、企業からのニーズが高く、就活では評価を受けることができます。
また、資格には座学で勉強するものと、実技で勉強するものがありますが、おすすめは後者です。
特にペネレーションテスターを目指す人には、Offensive Security社が提供しているOSCPをまずは目指すことがおすすめです。
OSCPは日本でもまだ持っている人が少ない一方で、技術力の評価につながりますし、何より実務で求められるスキルを直接的に勉強することができます。(実際の実務でもマシnを攻略することは変わりないので)
技術書籍を読み漁る
技術書籍は通常の書籍と比べると高価ですが、書籍で身につけた技術は実務でもとても役に立ちます。
特にオフェンシブセキュリティ領域では、海外からの翻訳本を中心に読んでみると良いです。
上記書籍では、最新の技術や実務で利用されている技術が解説されていることが多く、仕事に着いた後で活かすことができます。
勉強会やイベントに積極的に参加する
セキュリティキャンプは凄くおすすめです。
基礎的なスキルの習得から最先端の技術に触れることができます。
私自身のログ分析スキルやハッキングスキルはセキュリティキャンプによる部分も大きいです。
また、その他のイベント(CODE BLUE学生スタッフ、SECCON)などにも参加することがおすすめです。
このようなイベントでは同世代のつながりを作る非常に良いきっかけなので、積極的に参加しましょう。
CTFにトライする
CTFは手を動かしながら学ベるのでおすすめです。
ただし、問題の質は作門者に依存するので、必ずしも効率良い学習方法とは言えません。
技術を体系的に学んだり、効率良く学ぶことを目的にするなら他の方法をとっても良いと考えています。
なので、おすすめはCTFに一度トライしてみて、自分に合っていれば継続して行い、面白くないと感じれば無理に続けずに、他の勉強方法に切り替えましょう。
論理的思考力を鍛える
技術は分かりやすく説明できて、初めて価値になります。
なので、学生時代に論理的思考力を鍛えておくことがおすすめです。
おすすめは次の書籍で知識を身につけ、後はアウトプットあるのみです。
この本は、ロジカルに話すことに焦点を当てた本です。MECEなどコンサルタントとして必要なスキルを学ぶことで分かりやすく話すための技術を学べます。
論理的思考とは理論だけ学んでも習得することはできないので、研究活動やアルバイトでの発表を通じて積極的に実践していきましょう。
継続的に実践していくことで、論理的思考力が身につくだけではなく、自分の成果物に対する自信にもつながります。
その他
文系でもセキュリティ業界に就職することは可能
文系出身で、セキュリティ業界に進むことに対して自信を無くしている方が多いように思います。
でも、安心してください。
セキュリティの仕事は文系出身でも十分に可能です。
特に、セキュリティコンサルタントの半分は文系であることが多く、理系的なバックグラウンドがなくても可能です。
ただ、IT基礎や基本的なセキュリティ知識は身につけておいた方が、就活などでアピールする時に便利です。
なので、上記を参考に、まずはIT基礎(サーバやネットワークの理解)から始めていきましょう。
コメント