セキュリティの分野に関心があり、いろいろ調べています。
セキュリティの分野ってペネストレーションテスト(ペネトレーションのtypoです失礼しました)であったり、デジタルフォレンジックであったり、かなり研鑽が必要なスキルがあると思っているんですが、その技術的な専門性を発揮できるポジションって世の中にどういったものがあるんでしょうか?
例えばセキュリティベンダーみたいな会社の人は、何かしらのツールに習熟しているだけの印象が強く、一般企業のCISOチームやCSIRTなどですと、あまり技術と関係なさそうな仕事が多いように見えます。
セキュリティコンサルにはそういう技術的なことをする人も稀にいたりするんでしょうか…。
ほか、Googleとかにはすごい人がいるのでしょうが、そうでない場合、技術的なスキルを発揮できるポジションとしてどういったものが考えられるでしょうか?
大きな区分で言うとおよそインフラ系になるので(アプリ開発でもなければデータベースでもないので)、イメージ的には、セキュリティに強みを持つインフラエンジニアや技術コンサルなどでしょうか。それぞれ事業会社やコンサルァームで必要とされそうなポジションですが、なかなか見当たらですかね。それと以前、警察系組織でホワイトハッカー募集みたいな情報は見かけたことあります。
Typoお恥ずかしい、失礼しました。
実は以前警察の技官をしていた人と話したことがあり、その人がいうのは結局警察と言っても、セキュリティベンダーみたいなところに技術的な細かい部分は委託しているという話でした。
正直なかなかそういうポジションは見当たらないんですよね。
いくつかのJTC・メガベンチャーのCSIRT経験者です
セキュリティ界隈はインターネット業界と似ていてwinner takes allの世界です
技術的な専門性の高い職、というと例えば脆弱性診断やレッドチームなどが挙げられますが、それもそれぞれ自分で未知の脆弱性を発見して活用できるレベルの最上位層のことであって、その他大勢はその知識を多かれ少なかれ活用する仕事です
極論すると、技術が必要なポジションというのは特定の分野を指すのではなく、それぞれの分野の最上位層のことを指すといえます
ただしそれらの専門家が一般企業の防衛を司るCSIRT職員としても有能かというと微妙で、CSIRTに求められるのは社内特有の事情やインフラ、開発など隣接領域も含めたセキュリティのゼネラリスト的な知識と経験であり、一般企業では一番必要とされるけど育成が非常に困難、他所のCSIRTから引き抜くしかない、という課題でいつも難儀しています
専門家は特定の一企業で常時必要になるケースは稀なので、セキュリティ企業に所属してもらって必要な時だけ外部委託という棲み分けになっています
私の専門分野ではありませんが、コンサルでもセキュリティ支援の一つとしてペンテストはやってますね。
高度なスキルが求められるので誰でも出来るわけではなく、そのような専門人材はファーム内でも重宝されている印象です。
セキュリティベンダに勤めています。
・デジタルフォレンジック(=インシデントレスポンスサービス)については、大体どこのベンダでも提供していると思います。痕跡を収集・閲覧するのに独自のツールを使うことはありますが、解析には100%フォレンジックの技術が必要なので、市場を渡り歩くスキルはつきますよ。ベンダだと封じ込め根絶も自社製品を使ってできるので、インシデントレスポンスの旗振りに関してもコンサルに比べてやりやすい印象です。ポジションに関してもインシデントレスポンス専用のチームがどこもあると思います。
・ペネとレーションテストについては、ベンダよりもコンサルが実施することが主流だと思います(一部ベンダでも提供してますが)。私はIRとペンテ両方経験しましたが、ペンテの方が楽しくはありますw
ただ、IRもペンテ両方とも、脅威の知見とお客様の運用実態がもろに分かるポジションなので、今後セキュリティの分野でキャリアを深めていくにはかなり良いポジションだと思いますよ。
日本企業だと難しいと思いますが、外資系であれば普通にあると思います。
Xのセキュリティエンジニアっぽい人達は、大半が脆弱性診断やSOCの監視メンバーが多い気がしますが、その層と交流してても高度なロールに採用されるとか無いと思います。
