Hello there, ('ω')ノ
2回目のドクターストップが出たのはサイバーの世界へ入って
2年が経過しようとした時期でした。
相変わらず月の残業時間は200時間を超えていました。
毎日の食事や運動などで健康維持には努めていたものの
医者の診断書がでても会社は何もしようとせずに売り上げばかりを求め
サイバーの内容を定期的に求められて、何度説明しても何も理解しようとせず。
そのような時に相談にのってくれたのは、以前の会社の上司や後輩らでした。
過去に働いていた企業の仲間らにサイバーの内容を話すと誰もが理解します。
つまり、説明が下手なわけではなく理解できない人間に問題があり
頭が悪すぎるという結論にいたりました。
また、外部の人間と話をすることでいろんな気づきもありました。
昨今では、資金のある企業が各方面からセキュリティエンジニアを集めていたり
セキュリティエンジニアとして雇用したものの個人任せで教育が不十分で
脆弱性診断といってもツールの自動スキャンがベースとなり
サービスが不十分で金額も含め、顧客もトラブルがあったりと。
すでに頭の中はバグバウンティレベルの考えに切り替わっていたので
このやり方や診断期間だと重要度の高い欠陥は見つけることはできないと
感じていました。
さらには、開発会社は脆弱性診断ができないもので、外部へ委託するので
その後の改修作業で開発スケジュールに遅延が生じたり、人件費が増えたりと。
セミナーを受講させるにしても数十万円と高額で
受講したからといって即日、実践で使える能力は身につかなかったりと。
そこで、今後はソフトウェアの品質同様に開発者が自ら脆弱性を把握した上で
設計やテストを行う時代へシフトしていかなければ、
スムーズな開発はできないと考えて内製化に重点をおいて教育へと着手しました。
ここで、さらなる転機が起こると同時にさらなるスキルアップへとつながります。
これから脆弱性診断を始める方向けにカリキュラムを作成して
資料をつくるものの各所においてうまく説明できないところが多々出現し
さらには、細かな点で理解が不十分だったり適当だったりと
自分の弱点に気づかされました。
他人へ教えるということで、自分の理解度や頭の中の整理を行うには
よい機会だったと思います。
資料においては結果だけでなく、どこに着目して何を考えて何を行ったのか
その結果より次にどう考えて何を試したのかを細かく書き留めることにしました。
おそらく、うまくスキルを習得できない方は、ここがわからないのかと思います。
Best regards, (^^ゞ
