これまでの僕とこれからの僕

セキュリティに興味のある数名からDMで僕のセキュリティでの生い立ちについて質問があったので記事にしようと思います。

背景

僕は専門学校の3年間の情報処理科に通っていました。その当時は特にセキュリティをやっていると言うわけではなく、普通に資格を取っている専門学生でした。一年生で基本情報技術者、2年生で応用情報技術者、3年生で情報セキュリティスペシャリストの資格を取得しました。ほかにもComptia A+やオラクルマスタードットコムマスターLPIC、ILTLなど様々な資格を取得していました。学校へはほとんど行かず、友達にノートを見せてもらって試験前日に徹夜で勉強している状態でしたが、成績はほぼオールAのような状態でした。そんな中、専門学生を対象としたMBSDセキュリティコンテストが開催され、担任から参加してみないかとの誘いがありました。決勝まで残れば卒業制作として扱ってくれるといった条件付きで。サイバーセキュリティ実践ガイドを片手に徹夜でペネトレーションテストを勉強してそのかいあってか、結果は準優勝でした。そこでセキュリティに興味を持ちました。さらにそこでCTFと出会いました。

就職

セキュリティに興味をもった僕は、某大手セキュリティ会社に就職しました。最初はSIに内定受諾していましたが、1月になりドタキャンして内定破棄して、某大手セキュリティ会社に就職しました。内定式は1月だったので一人でした。就職が出来ても、新人研修の成績でSIかセキュリティに割り振られる厳しい研修でした。結果はセキュリティオペレーションセンター勤務になりました。そして一年ほどサンドボックスの検証業務を行っていました。業務を行う傍ら、社外に販売している研修に社員枠として参加させてもらい、フォレンジック調査、マルウェア解析、脆弱性診断などの技術を学びました。また、CodeBlueなどのカンファレンスにも参加しました。

大学

働いている中で、技術力の不足を実感し、さらに勉強会などに参加することで自分の技術力のなさに絶望しました。そのため、大学からやり直す決意をしました。大学へは中途入学し、3年生からスタートしました。大学で学ぶことはほぼありませんが、セキュリティと英語を勉強する時間は作れました。幸いなことに買っていた仮想通貨が暴騰し、600万前後持っている状態なので資格等の受験料に差しさわりはありませんでした。

勉強法

ペネトレーションテストを学びたいと思っていた中、出会ったのがHackTheBoxです。ペネトレーションテストについて詳しくなかったため、リタイアBoxをWriteupを見ながらひたすら解いて、Easy, Mediumのリタイアが解き終わるころにはアクティブが解けるようになっていました。またChallengesも普段毎週CTFに参加しているため、その応用で解けるようになっていました。そしてやっているうちに、Omniscientランクまでいきました。常設CTFもやっていました。最近では初心者にはTryHackMeもおすすめです。下記に僕がやっている常設CTFやペネトレーションテストラボをまとめます。

ペネトレーションテスト

Hack The Box :: Penetration Testing Labs

TryHackMe | Cyber Security Training

常設CTF

https://ctf.cpaw.site/

ksnctf

Welcome [Root Me : Hacking and Information Security learning platform]

MLC

BUUCTF

参考書ですがセキュリティに関連する日本語の参考書は全て買っていると思います。持ってないものを見かけ次第パッケージ買いします。技術はお金で買えません。最近では技術書典の同人誌もすごくお勧めです。

技術書典:技術書オンリーイベント

個人的にはpwnが好きなのでkusanoさんのMalleus CTF Pwn Second Editionが好きです。

Malleus CTF Pwn Second Edition:superflip

僕の本棚の画像です。Kindleで買っているものも多いです。 f:id:Yunolay:20210202102728j:plain

策謀本は古いですがハッカーの思考を理解できるため面白いです。サイバーセキュリティ実践ガイドペネトレーションテストを学習できはKali Linuxのツールの使い方を学習できるためおすすめです。

サイバーセキュリティ レッドチーム実践ガイド

サイバーセキュリティ レッドチーム実践ガイド

  • 作者:Peter Kim
  • 発売日: 2019/01/29
  • メディア: 単行本(ソフトカバー)

Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際

Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際

  • 作者:Jon Erickson
  • 発売日: 2011/10/22
  • メディア: 単行本(ソフトカバー)

最近

毎週CTFに参加しつつディープウェブなどで生息しています。HackTheBoxもGuruを維持できるぐらいにはやっています。

f:id:Yunolay:20210204185706p:plain

f:id:Yunolay:20210204185715p:plain

最近はOffensive Securityの資格に興味を持ちました。ペネトレーションテストを行う上で一般的なOSCPの資格を取得しました。資格取得については受験記を書いているのでそちらをご覧ください。今後はOSWE, OSCEを目標にコロナが開ければOSEEの取得を目指していきたいと思っています。

今後のことはまだ考えていませんが、きっと脆弱性診断をお仕事にするんだと思います。