Shikata Ga Nai

Private? There is no such things.

ムダなく最短でセキュリティスキルを身につける学習法⑩

Hello there, ('ω')ノ

 

6月に入ったころだったか、経済産業省の「情報セキュリティサービス基準」の

認可に合格した通知をもらいました。

それからは、ホームページも自分ひとりで作らなければならない状況で

デザインや文言等を考えたり、ドメインを取得したりとトレーニングを並行して

進めており、休む暇は全くありませんでした。

 

トレーニングにおいては、アプリケーションチックなテスティングサイトでも

CTFのようにどのように予め脆弱性が潜んでいるかがわかっているものから

着手したほうがスムーズに脆弱性別のテスティングサイトから移行できそうです。

トレーニングをするにしても順序というものがすべてに通じており

先を急ぐと何も身につかない結果が待ち受けているように思えます。

どのような考えで脆弱性を見つけ出して行ったか

どのようなペイロードをどのような理由で試したかなどを細かくメモして

定期的に自分なりの手順書をまとめていきました。

 

地味な作業の毎日の連続で1年を経過しようとする前には

他社との協業で全くの初心者へのレクチャーも始めていました。

ただ、誰ともつながりがなかったので他社のレベルというのもわからず

どこまでやれば顧客が納得できるサービスができるものかわからない状態でした。

いつも何を基準にして目指していたかというと海外のハッカーです。

それしか技術レベルといったものを知ることができませんでしたので

それ以外は目指すところがなかったのです。

 

さらにハードな生活は続き、ちょうど1年が経過しようとしたときに

突然起き上がれない日々が続き、精神状態もおかしくなってきました。

非常に命の危機感を感じて心療内科で受診すると重等症に近い鬱病とのこと。

原因は、過度なストレスやオーバーワークです。

相当、自分自身を追い込んでいたようです。

考えてみると過労死ラインの残業は1年続いていました。

誰も助けてはくれないので仕方ありません。

普通に歩くこともできず、息切れもしてドクターストップがかかってましたが、

昔からやりきるといった性格からペースを落として継続はしました。

薬も飲まずに食事療法や運動で回復しようとイチかバチかの賭けにでました。

 

今振り返ると当時は、すでに他社と同程度の脆弱性診断のスキルは

ついていたように思えます。

つまり、やったことは当ブログにて公開していることのみです。

途中、よそ見をしてネットワークやペネトレーションなども手を出したり

試行錯誤といった無駄な時間を費やしてしまいました。

結局のところ、脆弱性というものをわかる範囲で理解したあとは

ひたすらトレーニングを行って、常にまとめておいて

定期的に脆弱性の意味を復習しなおしたりといった繰り返しでした。

とってもシンプルで、やるかやらないかだけのことかと思います。

非常に地味で根気がいると思いますが、価値のあるものを得るには

努力が必要だと思います。

 

このような経験もあり、開催しているセミナーでは体を壊さなくてすむように

ムダを省いてなるべく最短で技術を習得できるようにレクチャーしています。

かなり細かくやさしく説明していますが、ついてこれるかこれないかは

自分次第ではないでしょうか。

 

Best regards, (^^ゞ