🔐
【イベントレポート】セキュリティエンジニアの知識地図 - Forkwell Library #82
公開
2025-03-04
文章量
約3554字
「セキュリティエンジニアの知識地図」という書籍をテーマにしたオンライン勉強会、Forkwell Library 第82回が2025年2月28日に開催されました。
近年、サイバーセキュリティの重要性が高まるなか、それを担うセキュリティエンジニアへスポットライトを当てる今回のイベントは、著者・監修メンバー4名を一挙に招いた濃密な内容に。
セキュリティ業界の最前線で活躍する皆さんから、自身のキャリアや業務経験、そして書籍への思いが語られました。
本稿では、セッションの様子やそこから得られた示唆を、超一流のDevRel視点でレポートしていきます。
参加者のQ&Aも交えながら、セキュリティエンジニアを志す方々が「次の一歩を踏み出せる」学びを共有したいと思います。
イベント概要
Forkwellが運営する「Forkwell Library」は、ITエンジニアに向けた学びの場を提供する勉強会シリーズです。
今回は第82回として、『セキュリティエンジニアの知識地図』をピックアップ。
著者・監修者の4名を招き、それぞれのキャリアパスやスキル、業界のリアルをライトニングトーク形式で紹介しました。
取り上げた書籍
- 『セキュリティエンジニアの知識地図』
- サイバー攻撃リスクが増大する今、セキュリティ専門家としてのキャリアや具体的なスキルがどうなっているのかを体系的にまとめた新刊。監修・著者陣は日々の脆弱性診断やペネトレーションテスト、ツール開発、教育活動など、実務レベルで幅広い経験を持っています。
登壇者
- 井上 圭 氏(株式会社ラック)
- 情報システム部門やMSP、セキュリティコンサルといった多様なキャリアを経験。現在は次世代セキュリティ技術研究所で、脆弱性管理や研究活動に携わる。
- 大塚 淳平 氏(NRIセキュアテクノロジーズ)
- 脆弱性診断士を起点に、サービス開発やペネトレーションテスト、脅威リサーチなどを行う。コンサルや講師としても活躍。
- 関根 鉄平 氏(株式会社エーアイセキュリティラボ)
- 大手金融機関等の脆弱性診断を経て、Webアプリ検査ツールの開発を担当。執行役員としてカスタマーサクセスにも注力し、セキュリティ製品の普及に取り組む。
- 上野 宣 氏(株式会社トライコーダ 代表取締役)
- ペネトレーションテストやサイバーセキュリティ演習環境の構築など、実践的トレーニングを提供。OWASP Japan代表やJNSA ISOG-J WG1リーダーも務める。
LT① セキュリティエンジニアを横から眺めた景色(井上 圭 氏)
最初は、ラックの井上氏が自身のキャリアを振り返りつつ「セキュリティエンジニアに限らず、運用や開発を経て専門的な道に進むケースは多い」と強調。
- 物理セキュリティの業界から情報システム部やMSP、セキュリティコンサルへと転身してきた自身のストーリー
- 「セキュリティ専業でなくても、運用や開発の過程でセキュリティに触れる機会は多い。そこからキャリアが広がる可能性がある」
- 興味のある領域に対して前倒しで学び、分岐点が来たときにスッと飛び込めるようにしておくのが大切
「セキュリティエンジニア=攻撃・防御の専門家」とイメージされがちだが、井上氏は「横から眺める立ち位置」もキャリアとして面白いと提案。運用~セキュリティを橋渡しできる人材はまだまだ不足している現状が浮かび上がりました。
LT② 脆弱性診断士から始めるセキュリティエンジニア(大塚 淳平 氏)
続いてNRIセキュアの大塚氏が、脆弱性診断士のキャリアパスを紹介。
- 新卒でセキュリティ業界に入り、脆弱性診断やコンサル、講師などを経験
- 診断業務を通じて、攻撃手法や対策知識を幅広く獲得
- そこからサービス開発やペネトレーションテスト、脅威リサーチなどへ仕事の幅が広がった
大塚氏曰く、「脆弱性診断士はキャリアをスタートしやすい領域。診断から得る攻撃知識はあらゆるセキュリティ業務の土台になる」とのこと。セキュリティ業界への入り口として脆弱性診断に取り組む価値が大いにあると語りました。
前半Q&A
LT①②終了後のQ&Aでは、「新卒1年目の立ち回り」「30代中盤でのセキュリティ転職」などが話題に。
- 若手であれば、まずはやる気と吸収力を示すことが重要
- 運用や開発経験も大きな強みになるので、セキュリティ企業だけでなくユーザー企業の求人も要チェック
- 資格や英語はあればプラスだが必須ではない。だが学習の指針にはなる
LT③ 「変わりゆく脆弱性診断とキャリアの広がり」— 診断ツールの進化とセキュリティ業界の多様な働き方(関根 鉄平 氏)
エーアイセキュリティラボの関根氏は、自身の挫折や失敗談も交えながら、脆弱性診断ツール開発の難しさやキャリアの広がりを語りました。
- 脆弱性診断の試行錯誤、ツールによる効率化を進める過程で多くの苦労
- 失敗を糧に、脆弱性スキャナー開発やカスタマーサクセスとしてお客様を支援
- セキュリティ業界では、製品開発・プリセールス・支援など意外なキャリアパスがあり、自分の得意を掛け合わせると活躍の場が生まれる
「凄腕のハッカーにはなれなくても、手持ちの能力を組み合わせて強みを出すことができる」というメッセージが印象的でした。
LT④ リアル演習で鍛える!サイバー攻撃の“舞台裏”構築術:業界の最前線で活躍する人材を育てるために学んだこと(上野 宣 氏)
最後に、トライコーダの上野氏がサイバーセキュリティ演習環境構築の裏側を披露。
- 東京オリンピック・パラリンピック組織委員会向けサイバーコロッセオや、政府主催のCYDER演習などリアルな攻防演習を多数手掛ける
- 攻撃や防御を本番さながらに体験するための“生活感ある”環境づくりが大変。ログやマルウェア痕跡をどう再現するか、シナリオ設計が重要
- 演習環境を作る側も大量のスキル(ネットワーク、サーバー構築、プログラミング、教育設計、攻撃手法など)が求められ、まさに掛け算で勝負
「一つひとつは大した能力じゃなくても、積み重ねで成果を出せる」――業界最前線の人材育成に取り組む上野氏からは、セキュリティ演習の醍醐味と苦労が語られました。
Q&Aまとめ
後半のQ&Aセッションでは、生成AIの診断活用やオンプレからクラウドへの流れ、英語力の必要性など多岐にわたる質問が殺到。
- 生成AIの活用脆弱性診断ツールにおけるクローリング自動化やフォーム検出などに応用。いかにAIの誤作動を抑えつつ効率化するかがポイント。
- 一般企業の求人状況シニアマネジメントやCSIRT設置の機運に伴い、徐々に増加。ただまだ少人数体制が多く、専門性をもった転職者への期待は大きい。
- 英語力技術情報は英語ソースが多いため、読解面では一定の強みになる。しかしツールや翻訳サイトも進化しており、“最低限の読み書き+コミュ力”で十分活躍できる場面も多い。
こうした議論を通じて、セキュリティ業界が変化している実態や、キャリアを築くうえでの具体的ヒントが得られた印象でした。
全体を踏まえた感想
4名の登壇者は、誰もが一筋縄ではいかない道のりを歩んでいました。もともとは運用や開発畑で、一度挫折してからセキュリティに腰を据えた人、脆弱性診断からキャリアをスタートしてツール開発や研究に広げた人、あるいは演習環境づくりという“なんでも屋”を通じてスキルを掛け算した人……。
しかし、共通するのは「自分のやってきた領域×セキュリティ」という掛け合わせで新たな価値を生み出している点です。専門的な攻撃手法や脆弱性の知識も大事ですが、運用・開発・コンサル・講師・プリセールス・マネジメントなど、自分が得意とする何かを組み合わせれば、キャリアの幅がぐっと広がる――そんな前向きなメッセージが随所に感じられました。
セキュリティエンジニア不足が叫ばれる今こそ、“次のステージ”へ踏み出すには好機といえます。入門者にとっては、本書『セキュリティエンジニアの知識地図』がガイドになり、業界歴が浅い方でも「脆弱性診断士」から始めてみる、あるいは自社のCSIRT業務を担ってみるなどの選択肢は十分に考えられそうです。
一方で、セキュリティ業界でしか働いたことがない人でも、ツール開発やプリセールス、サービス企画といった新しい視点に挑戦する余地があります。今回の講演を通じて、多種多様なキャリアパスと失敗談が紹介されたことは、まさに「セキュリティエンジニアほど幅広い働き方がある」という事実を示すものでした。
失敗に尻込みせず、まずは自分の興味ある分野を学び、人の少ないところに飛び込んでみる――その先にこそ、新しい挑戦とイノベーションが待っているように感じます。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
