20代でフリーランスに転身した セキュリティエンジニアのモデルケース

5.1K Views

July 23, 25

#セキュリティ #入門 #初学者向け

スライド概要

HackFes2025登壇資料です。「セキュリティエンジニアの知識地図」著者メンバーより登壇しました。
https://hackfes2025.hacker.or.jp/#:~:text=%E3%80%8E-,%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AE%E7%9F%A5%E8%AD%98%E5%9C%B0%E5%9B%B3,-%E3%80%8F%E3%81%AE%E8%91%97%E8%80%85%E3%81%A8

以下、資料中の引用リンクです。
・セキュリティ知識分野(SecBoK)人材スキルマップ2021
https://www.jnsa.org/result/skillmap/

・ssmjp
https://ssm.pkan.org/

・セキュリティエンジニアの知識地図
https://gihyo.jp/book/2025/978-4-297-14748-8

・ガートナー/日本におけるセキュリティ (リスク管理、アプリ/データ、プライバシー) のハイプ・サイクル:2024年
https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20241009-sec-hc

・JPCERT/CC
https://www.jpcert.or.jp/

・Developer Loadmap(Backend)
https://roadmap.sh/backend

・Azure/セキュリティ アーキテクチャの設計
https://learn.microsoft.com/ja-jp/azure/architecture/guide/security/security-start-here

・株式会社バラエナテック
https://www.balaenatech.com/

profile-image
スライド一覧

幸田将司 / 株式会社バラエナテック代表取締役 半身をメタル化することでパワーアップした、ガルルモンの最終形態。メタル化をしても持ち前の俊敏さは失っておらず、全身に隠されている無数の武器で敵を粉砕する。 フリーランス7年目 SecuriST / CEH(Certified Ethical Hacker)/ CND(Certified Network Defender)認定インストラクター

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

診断員によるASMのすすめ
セキュリティ 脆弱性管理 saas sbom
user-img はるきち 1.2K
slide-thumbnail

SNMPセキュリティ超入門
セキュリティ ネットワーク snmp 脆弱性管理
user-img はるきち 752
slide-thumbnail

BurpExtenderを作ろう
セキュリティ 脆弱性診断 脆弱性
user-img はるきち 660
slide-thumbnail

セキュリティチェックを乗り越えるためのSaaSのアプローチ
セキュリティ saas 脆弱性管理 認証規格 コスト削減
user-img はるきち 475
slide-thumbnail

KH Coder 3 チュートリアル
user-img HIGUCHI Koichi 733.2K
slide-thumbnail

エンジニアとQAの壁が崩れていくのを眺めていた #scrumosaka
scrumosaka 2024 scrum agile
user-img asato 268.5K
各ページのテキスト
1.

20代でフリーランスに転身した セキュリティエンジニアのモデルケース 幸田将司 株式会社バラエナテック

2.

01 登壇者紹介 略歴 幸⽥ 将司 Web/プラットフォームセキュリティやISOコンサルティング等のサ ポートの経験から、ユーザフレンドリーな技術⽀援が得意。 所属 株式会社BalaenaTech 代表取締役社⻑ / 株式会社Levii SecuriST(R)認定Webアプリケーション 脆弱性診断⼠試験委員 SecuriST(R)認定ネットワーク 脆弱性診断⼠試験委員 CEH(Certified Ethical Hacker) 認定インストラクター ISOG-J (⽇本セキュリティオペレーション事業者協議会) 執筆 セキュリティエンジニアの知識地図(技術評論社) 直近の活動成果 脆弱性診断⼠のキャリアデザインガイド(2025年2⽉) ASM導⼊検討を進めるためのガイダンス(2024年11⽉) 脆弱性トリアージガイドライン作成の⼿引き(2024年5⽉)

3.

02 略歴 1 2 3 4 5 6 7 脆 弱 性 診 断 ⼠ 勉 強 会 や W G へ の 参 加 セ キ ュ リ テ ィ 講 師 業 ベ ン チ ャ I 企 業 へ 参 加 ス タ I ト ア ッ プ の 起 業 に 携 わ る I S O コ ン サ ル テ ィ ン グ 執 筆 活 動

4.

セキュリティエンジニア とは

5.

03 セキュリティエンジニアとは 組織のデジタル資産やIT資産を保護し、 サイバー空間の脅威から守る技術者 『セキュリティエンジニアの知識地図』[技術評論社]より引⽤

6.

04 セキュリティエンジニアの役割(一部) CISO 社内の情報セキュリティ を統括する。セキュリ ティ確保の観点から、 CIO(最⾼情報セキュリ ティ責任者)、CFO(最 ⾼財務責任者)と必要に 応じて対峙する。 インシデント ハンドラー インシデントの処理を⾏ う。セキュリティベン ダーに処理を委託してい る場合には指⽰を出して 連携し、管理を⾏う。 脆弱性診断士 ネットワーク、OS、ミド ルウェア、アプリケー ションがセキュアプログ ラミングされているかど うかの検査を⾏い、診断 結果の評価を⾏う。 フォレンジック エンジニア システム的な鑑識、精密 検査、解析、報告を⾏う。 悪意のある者は証拠隠滅 を図ることもあるため、 証拠保全とともに、消さ れたデータを復活させ、 ⾜跡を追跡することも要 求される。 『セキュリティ知識分野(SecBoK)⼈材スキルマップ2021年版より引⽤

7.

05 Sec BoK 人 材 ス キ ル マ ッ プ 役割(ロール) 役割定義(ユーザ企業におけるおもな役割) CISO 社内の情報セキュリティを統括する。セキュリティ確保の観点から、CIO(最⾼情報セキュリティ責 1 (最⾼情報セキュリティ 任者)、CFO(最⾼財務責任者)と必要に応じて対峙する。 責任者) POC 2 (Point of Contact) 9 脆弱性診断⼠ ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかど うかの検査を⾏い、診断結果の評価を⾏う。 組織内を調整し、社内各関連部署への情報発信を⾏う。社内システムに影響を及ぼす場合にはIT部⾨ 10 教育・啓発 社内のリテラシーの向上、底上げのための教育及び啓発活動を⾏う。 4 コマンダー ⾃社で起きているセキュリティインシデントの全体統制を⾏う。重⼤なインシデントに関しては CISOや経営層との情報連携を⾏う。また、CISOや経営者が意思決定する際の⽀援を⾏う。 4 トリアージ 事象に対する対応における優先順位を決定する。 インシデントマネー ジャー 役割定義(ユーザ企業におけるおもな役割) 社外向けではJPCERT/CC、NISC、警察、監督官庁、NCA、他CSIRT等との連絡窓⼝、社内向けでは IT部⾨調整担当社内の法務、渉外、IT部⾨、広報、各事業部等との連絡窓⼝となり、それぞれ情報連 携を⾏う。 3 ノーティフィケーション と調整を⾏う。 5 役割(ロール) インシデントハンドラーに指⽰を出し、インシデントの対応状況を把握する。対応履歴を管理すると ともにコマンダーへ状況を報告する。 11 フォレンジックエンジニ システム的な鑑識、精密検査、解析、報告を⾏う。悪意のある者は証拠隠滅を図ることもあるた め、証拠保全とともに、消されたデータを復活させ、⾜跡を追跡することも要求される。 ア 12 インベスティゲーター 外部からの犯罪、内部犯罪を捜査する。セキュリティインシデントはシステム障害とは異なり、 悪意のある者が存在する。通常の犯罪捜査と同様に、動機の確認や証拠の確保、次に起こる事象 の推測などを詰めながら論理的に捜査対象を絞っていくことが要求される。 13 リーガルアドバイザー システムにおいてコンプライアンス及び法的観点から遵守すべき内容に関する橋渡しを⾏う。 14 IT企画部⾨ 社内のIT利⽤に関する企画・⽴案を⾏う。必要に応じて、ITの利⽤状況の調査・分析等を⾏ う。 15 ITシステム部⾨ 社内のITプロジェクトを推進するとともに、アプリケーションシステムの設計、構築、運⽤、 保守等を担当する。 インシデントの処理を⾏う。セキュリティベンダーに処理を委託している場合には指⽰を出して連携 5 インシデントハンドラー し、管理を⾏う。状況はインシデントマネージャーに報告する。 6 キュレーター リサーチャーの収集した情報を分析し、その情報を⾃社に適⽤すべきかの選定を⾏う。リサーチャー と合わせてSOC(セキュリティオペレーションセンター)とすることが多い。 7 リサーチャー セキュリティイベント、脅威情報、脆弱性情報、攻撃者のプロファイル情報、国際情勢の把握、メ ディア情報などを収集し、キュレーターに引き渡す。収集のみで分析はしない。 8 セルフアセスメント ⾃社の事業計画に合わせてセキュリティ戦略を策定する。現在の状況とTobe像のFit&Gapからリスク 評価を⾏い、ソリューションマップを作成して導⼊を推進する。導⼊されたソリューションの有効性 を確認し、改善計画に反映する。 情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう、リスクアセスメント 16 情報セキュリティ監査⼈ に基づく適切な管理策の整備、運⽤状況について、基準に従って検証⼜は評価し、もって保証を 与えあるいは助⾔を⾏う。

8.

フリーランスから 起業するまで

9.

06 略歴 1 2 3 4 5 6 7 脆 弱 性 診 断 ⼠ 勉 強 会 や W G へ の 参 加 セ キ ュ リ テ ィ 講 師 業 ベ ン チ ャ I 企 業 へ 参 加 ス タ I ト ア ッ プ 創 業 に 携 わ る I S O コ ン サ ル テ ィ ン グ 執 筆 活 動 天職に出会った 分野外のセキュリティは ここで知ることができた ⾃分が守らないとならない ⾃分が守らないとならない 範囲が多かった 範囲が多かった 監査経験を活かして ISMS対応ができるように

10.

07 必要なスキルと能力 サイバーセキュリティに対する広い理解 攻撃者の⾏動を理解し、 技術や予防⼿段だけではなく事後対応についても視野にいれる 情報のキャッチアップ能⼒ 勉強会やワーキンググループへの参加 最新の動向や⾃分が知らない分野をインストールする 説明⼒ インプットした知識を咀嚼して顧客やチームメンバーへ説明する アウトプットしないのは知的な便秘※1 ※1...出展: https://ssm.pkan.org/

11.

08 必要なスキルと能力を磨くために サイバーセキュリティに 対する広い理解 プレイヤー業務は攻撃者を理解するために最適。 可能であればレッドチームとブルーチームの業 務を経験できると良い。業務経験できない分野 については書籍や教育⽤コンテンツを使う 情報のキャッチアップ 新しい脅威や技術、攻撃⼿法が⽇々登場するた め、継続的な情報のキャッチアップが不可⽋。 脅威インテリジェンスを扱うニュースサイトな どを参考にする

12.

09 必要なスキルと能力を磨くために ガートナーハイプサイクル 次の流⾏へ向けて キャッチアップしておく JPCERTレポート https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20241009-sec-hc https://www.jpcert.or.jp/

13.

10 必要なスキルと能力を磨くために Developer Loadmap アーキテクチャへの理解 クリーンアーキテクチャで システムの保守性/堅牢化を 測りたい (アーキテクチャの⼀例) クラウド利⽤における ベストプラクティスを 理解する エンジニアになるために 必要な知識のロードマップ https://roadmap.sh/backend https://learn.microsoft.com/ja-jp/azure/architecture/guide/security/security-start-here

14.

11 案件獲得のために バラエナテックで扱う業務⼀覧 得意分野を増やす サイバーセキュリティの需要は⾼いが、 競合も多い。この業界で⽣き残り 継続的に案件を獲得していくには 得意分野を⼀つでも多く持ち、 「選ばれる専⾨家」になることが重要。

15.

11 案件獲得のために バラエナテックで扱う業務⼀覧 得意分野を増やす サイバーセキュリティの需要は⾼いが、 競合も多い。この業界で⽣き残り 継続的に案件を獲得していくには 得意分野を⼀つでも多く持ち、 「選ばれる専⾨家」になることが重要。 お仕事・協業のご依頼、 ⼼よりお待ちしております! お気軽にご相談ください

16.

ありがとうございました