初めての社外トレーニング参加！！

皆様、こんにちは！エンジニアのガッキーと申します。

新卒で入社して今年で4年目になりますが、セキュリティと一口に言っても幅が広く、セキュリティエンジニアとしてはまだまだ先は長いと日々感じております。今回はそんな私が社外のトレーニングに参加した際の体験談について話をさせて頂こうと思います。

■はじめに
今回トレーニングへの参加を決断した理由としては、上でも少し触れた通り、セキュリティは幅も奥行きも広いと感じる中で、セキュリティエンジニアとして知見を広げるための挑戦をしてみようという思いがあったからでした。期初に上司ともエンジニアとしての幅を広げたいという目標を共有していたので、後日社内で参加者を募集しているトレーニングがあるという話を持ってきてくださり、「やります」と言ったらその場でトレーニングへの参加が決まり、あっという間に機会がもらえました。

私自身これまでWAFと呼ばれるWebアプリケーションに対するセキュリティ製品やEDRやNDRと呼ばれる標的型攻撃などによる社内ネットワークへの侵入とその後の脅威を検知するような製品を扱ってきており、インターネットから迫ってくる脅威についてある程度の知識と経験を積んできたと思っています。

そのような中でよく耳にするのが"脆弱性"という言葉で、その"脆弱性"について普段の業務で得られる知見とは少し違った角度の視点でより深く学ぶために、トレーニング参加という手法をとりました。

■今回参加したトレーニングについて
今回参加したトレーニングはいわゆる "脆弱性診断のスキル習得" を目的としたトレーニングで、診断時のレポートの書き方や診断時の注意事項などの周辺知識も含めて2日間で行われるトレーニングでした。

私が期待していた脆弱性に関する部分は大きく分けて3つの観点でコンテンツが用意されていて、具体的には
1. DNSやWhoisなどの公開情報における脆弱性
2. 外部に公開されているポートやアカウントなどの管理における脆弱性
3. 個別の製品やソフトウェアにおける脆弱性
についてでした。

また内容は座学のみではなく、主催者側に用意してもらった環境内でのハンズオントレーニングも含まれ、リモートでの開催にも関わらず、こういったハンズオン環境についてもしっかり対応されていたため、非常に充実したトレーニングでした。

■今回の学び
"脆弱性"と聞くと職業柄3つ目の脆弱性がすぐに頭に浮かぶのですが、外部から攻撃を仕掛けるための足掛かりとなる1つ目、2つ目の脆弱性を減らしていくことの重要性について学ぶいい機会にもなりました。

製品やソフトウェアの脆弱性は社内のネットワークからしかアクセスできないようにしているから大丈夫といった考え方も、攻撃者の攻撃の高度化やクラウド型の製品などの利用の普及により通じなくなってきている側面もあり、また一度公開情報としてインターネット上に公開されてしまえば、どこかでだれかがその情報を調べたり保存することができてしまうので、日ごろからのセキュリティ意識を高く保つことが大切だと思います。
(とはいえ難しい部分だと思いますので、お困りの際はぜひ弊社までご相談ください！笑)

%E5%88%9D%E3%82%81%E3%81%A6%E3%81%AE%E7%A4%BE%E5%A4%96%E3%83%88%E3%83%AC%E3%83%BC%E3%83%8B%E3%83%B3%E3%82%B0%E5%8F%82%E5%8A%A0.jpg ※画像はWeb上からサルベージできるmacnica.netのページのトップ画面の変遷
　こんな感じで一度でも公開していたWebページはどこかで誰かが保存しています。

■おわりに
私自身は脆弱性診断を行いたいというモチベーションで参加したわけではなかったのですが、周辺知識から丁寧に教えてもらえるので、自社のネットワークを診断できるようになりたいけどどこから手を付けていいかわからない、という方にはかなりオススメできる内容でした。

今回のトレーニング内容は直接的に現在の業務と関わるものではありませんでしたが、一セキュリティエンジニアとしての知見が増すことで、最新のセキュリティ動向をより詳細に理解することができるようになり、お客様の課題に対してより具体的・効果的な解決策を提示したり、お客様がまだ課題とも認識していないセキュリティ上の課題を見つけたり、世の中のセキュリティに貢献できるようになるその第一歩と思っています。

またそういう長期的な目標だけでなく、短期的には私がトレーニングで得た知見やトレーニングで学んだことを基に製品提案に活かせるような形まで知識を落とし込んで社内への知識共有をしたり、私と同じくトレーニングに参加したいというエンジニアが増えるように、トレーニング参加を活かそうとしています。

もしこの記事を見て興味を持った方がいれば、自社のドメインの情報から社内のメールアドレスの命名規則や社員番号などのIDが分かるようになっていないか、古いドメインがしっかりとクローズされておらず誰かがアクセスできるようになっていないか等、攻撃者の興味を引いてしまうような"脆弱性"を持っていないか調べてみるのも意外な発見があって面白いかもしれません。