2.5 脆弱性診断士になるには #
未経験から脆弱性診断士になる #
脆弱性診断士は様々なセキュリティエンジニアの職種の中でも未経験者でも比較的参入しやすい傾向があるといえるでしょう。
- 業務内容がある程度成熟しており、就業後に取り組む内容が明確となっている。
- 初心者歓迎での採用(最初は高度な専門性を要求しない採用)が行われていることが多い。
- 就業後も安定した需要(案件、業務)が見込まれている。
近年では脆弱性診断の手法や業務プロセスが大分標準化されているため、研修やOJTなどの教育カリキュラムを整備して、企業内で育成を行う前提で未経験者を採用している企業は多いと思われます。
また、脆弱性診断士に必要な知識やスキルを身につけるための資料・書籍・学習するためのサイト・サービスなども多く存在するため、全くの未経験であっても自分で必要な知識を学ぶ手段も用意されています( 「5. 脆弱性診断のスキルを何で/どこで学ぶのか」を参照)。
本ドキュメント内でも紹介している脆弱性診断士スキルマッププロジェクトの脆弱性診断士スキルマップ&シラバスには、実際の業務に必要となる知識やスキルについて定義されているため、未経験の方は参考になると思います。
他IT業種からの転職 #
未経験から脆弱性診断士になるキャリアを積んでいくパターンもありますが、脆弱性診断は、他の業種を経験した上で参入すると、スキルの多様性の面でもメリットがあることがあります。
開発者やネットワークエンジニアから転職した場合に活きるスキル例
- 設計・プログラミング・テスト・デプロイ
- プロジェクトマネジメント
- ネットワーク、アーキテクチャ など
情報システム部門から転職した場合に活きるスキル例
- IT資産の管理
- 社内システムの導入
- ITインフラの運用保守 など
品質管理・テスト業務から転職した場合に活きるスキル例
- テスト計画の作成
- テストパターンの設計
- バグや不具合の発見 など
また、特定の技術的なスキルだけでなく、脆弱性診断士として診断される側の状況を知ることによって、その後脆弱性診断士として診断した場合に、開発者や運用者の視点に立って物事を捉えることができるようになります。 その他、セキュリティが必ずしも専門ではない職種も経験することによって、仕事の幅にも広がりができます。
このケースは、元々セキュリティに興味がなかったが、働いていく上でセキュリティに興味を持ち、そのパスとして診断士を選択して転職するというケースも見られます。
いずれの職種でも、転職で脆弱性診断士になる場合、他の仕事のように、転職サイトで転職するケースや、リファラル採用のような形での採用も近年増えています。後述するセキュリティ系のイベントなどで、各社どのような業務を持っているかを確認しておくと良いでしょう。
脆弱性診断士になるためには何を学ぶ必要があるか #
脆弱性診断士になるために必須となるのは、脆弱性や診断技術に関する知識です。 必要となる知識は診断対象によって変わってきますが、どのような脆弱性があるかを把握するのが重要です。
例えば、WebアプリケーションであればXSSやSQLインジェクション、CSRFなどのWebで発生する脆弱性に関して脆弱性の概要や攻撃手法、発生する仕組み、対策について学ぶ必要があります。 これらの脆弱性に関する知識は、下記のような手段を用いて学んでいくのが良いでしょう。
- セキュリティに関して扱った専門書
- セキュリティベンダーやセキュリティエンジニアが記載したブログ記事
- OWASPなどが作成しているセキュリティに関するドキュメント
- YoutubeやUdemyなどのセキュリティに関する動画コンテンツ
- トレーニングの受講や学習プラットフォームの利用
- セキュリティイベントへの参加
特に書籍やトレーニング、学習プラットフォーム、イベントに関しては5章で具体的なものを記載していますのでご覧ください。
セキュリティの知識以外に診断を行う上で、ソフトウェアやネットワークに関連する知識も必要となってきます。具体的には、下記のような知識です。
- Webアプリケーションの開発に関する知識
- TCP/IPやネットワークの知識
- クラウドに関する知識
こちらも診断対象によって必要な知識は異なってきます。また、知識以外にも実際にWebアプリケーションの開発経験やネットワークの構築経験があると診断業務に活用することができます。
その他にも、技術に関する知識やテクニック以外にソフトスキルの向上をおすすめします。特に文章作成能力は重要です。診断士の業務では報告書を出す必要があります。その際に検出された問題や対策をわかりやすく文章で相手に伝える必要があります。そのため、文章作成能力は非常に重要なスキルの1つとなります。