※本サイトで紹介している商品・サービス等の外部リンクには、プロモーションが含まれています。

「ポートフォリオ」という言葉は、転職活動を始めた方であれば1度は聞いたことがあるかと思います。

主にクリエイター職で注目されていますが、IT業界の転職全般にもその流れが広がりつつあります。

セキュリティエンジニアもその例にもれず、転職エージェントを利用する場合はエージェントからポートフォリオについて質問をされると思います。

しかし、セキュリティ業界に関係するポートフォリオを提示しろと言われても、何があるのかパッとは思いつきませんよね?

そこで、実際にセキュリティ業界への転職時に有効になるポートフォリオについていくつか考えてみました。

業務経験や資格以外でアピールできる武器になる上に、いつでも誰でも始められるのでぜひ取り組んでみてください!

前提として「脆弱性診断士」や「セキュリティアナリスト」といった技術方面を目指す方を想定して紹介しています。

上記2つはセキュリティ業界未経験者へのおすすめ転職先として以下の記事で紹介していますので合わせて読んでみてください。

セキュリティエンジニア転職で考えるキャリアプラン セキュリティエンジニアになるために必要な経験っていったいなに未経験からおすすめできる業務内容ってどんなものがあるの結局どう...

ポートフォリオでおすすめできる取り組み4選

ポートフォリオを簡単にいってしまえば、**「自身が作成した作品集」**のことを指します。

デザイン系やWEB開発系のエンジニアであれば、自身が作ったサイトなどをポートフォリオとして会社に提示することが多いようです。

プログラマであれば、GitHubに登録したソースコードもポートフォリオになります。

これらを見ていただくとわかりますが、ポートフォリオの目的はその業界内で「自分は十分活躍できる力を持ってますよ」といったことをアピールすることです。

では、セキュリティエンジニアはどうなのかというと…実はポートフォリオとして活用できそうなものが色々あります。

セキュリティ関連も様々なイベントや活動があり、実際に参加するところまではいかなくても、知っておいた方がいいのでぜひ目を通してみてください。

CTFに取り組む

近年、国内でも盛り上がっているのがCTFというイベントです。

特に国内最大のCTF(SECCON)では、様々な企業がスポンサーになっており企業としてもCTFを通じて優秀なセキュリティ人材を探していたりします。

そもそもCTFとはCapture The Flagの略で、セキュリティに関する技術を競うお祭りです。

競技には以下の2種類があります。

  • Jeopardy … クイズのようなものを答えたりする形式
  • Attack-Defense … チーム戦のような形でお互いのサーバに対し攻撃し合う形式

初めての参加であれば、まずクイズ形式(Jeopardy)のイベントから参加することをおすすめします。

主にセキュリティに関する幅広いジャンルから出題され、自分の得意なもの・気になるものからやってみるのが良いです。

また、CTFで解いた問題はブログなどで発表することが推奨されてます。

そのような記事はwriteup記事と呼ばれています。

しかし、CTFはレベルが高い問題が多く挫折してしまう人が多いのが現状です。

そういったことがあるからか、最近初心者向けのCTFもいくつか開催されています。

まずは初心者向けなど敷居が低いところからはじめてみるのがおすすめです!

国内CTFでおすすめは「seccon for beginners」!
ほぼ毎年5月頃に開催されています。

CTFは開催期間が決まっているものがあります。参加できそうなものがあるかは時期によって異なりますのでチェックしてみましょう。

こうしたリアルタイムに解くタイプのCTFは開催時期に合わせる必要がある、時間制限もあったりとなかなか思うようにいかないこともあると思います。

「自分のペースで解きたい!」

「もう少しCTFの練習を積んでみたい!」

という方は、いつでも参加できるタイプの常設CTFに取り組んだ方がいいかもしれません。

常設CTFは、CTF未経験者であればまず最初に取り組んでみるといい、と言われているものだったりします。

CTFってどんなものかを今すぐにでも味わってみたい方にはおすすめです!

常設CTFおすすめは「ksnctf」!
問題が古く動かないものもありますが、比較的優しめです。
また、解き方がわからなくてもすでにWriteupを書いている方もいるため、挫折しにくいです。

常設CTFはものによってはwriteup記事を出すことを禁止しているものもあります。
ルールをよく読んでから取り組むようにしましょう。

CVEを取得する

皆さんは「CVEを報告しました」とか「CVE持ってます」といったやりとりをみたり、あるいは聞いたりしたことありませんか?

個人が報告する場合もあれば、セキュリティベンダーが報告した内容について会社のHPに掲載する場合もあります。

CVEを簡単に説明すると、製品に内在する脆弱性を表す識別子のことを指します。

例えば「●●社の△△という製品に、◇◇という脆弱性がありますよ」といった内容をIPAなどに報告し、認められた際に発行されます。

CVEは資格ではありませんが、第三者に評価され公表されるものなので実績として報告することができます。

CVEに関する詳しい内容は、IPAの方で記載されておりますのでそちらをご覧ください。
共通脆弱性識別子CVE概説

CVEを持っている時点で、少なくとも次のことをアピールできます。

  • 脆弱性に関する知識と、それを見つけられる技術
  • 脆弱性を悪用せず、公的機関に報告するなどセキュリティ業界に必要な倫理観を持っている
  • セキュリティに関係する勉強への意欲がある

わかりやすい実績なので、下手に資格を持っていることよりも評価されるかもしれません。

この紹介をみて「CVEをとるのって大変でしょ?」という疑問を持つ方もいるかと思います。

確かに、CVEを取得することは簡単なことではありません。

ただ、CVEが取れなければ無駄、ということは決してありません。そこまでに得た経験・知識は後で生きる可能性は十分あります

「どんなのがあるのか知らない…」という場合は、JNVの脆弱性レポートSecurity Nextなどのニュースを追いかけてみましょう。

「どこから取り掛かればいいの?」という人は、公開された脆弱性を再現できるか手元で試してみるところから始めてみるのがおすすめです。

まずは、ブログなどで紹介しているもので簡単そうなものを見つけて、手を動かして再現してみるといいと思います。

CVEを取得しようとして実際に稼働しているサーバに対して攻撃するのはNGです。
OSSなどのWebアプリケーションであれば、まずローカル環境に構築するなど閉じた環境下で調査するようにしてください。

勉強会に参加して発表する

有志によるセキュリティ関連の勉強会は、connpassなどでいくつか開催されています。

ハードルが高めのものもありますが、初心者向きの勉強会も開催されています。

勉強会のデメリットとして、開催されている場所によっては参加が難しいことがあげられます。

しかし、今はオンラインでの開催をする場合も多いため住んでいる地域などに関係なく参加しやすい状況となっています。

また、セキュリティ勉強会だからといってセキュリティ知識がある程度ないとダメということはありません。

むしろ、セキュリティ業界に関心を持っている人や学生などに向けて開催されているものもあります。

セキュリティへの興味、関心があれば、いくつかの勉強会に参加をしてみることをおすすめします。

ちなみに、未経験者向けや初心者向けの勉強会であれば、意欲次第で発表者側になれる可能性も十分あります。

本業はセキュリティと関係ないけど、趣味でセキュリティについて調べている人も多いため「業界の人ではないので…」と謙遜する必要もありません。

そうしたところで発表した資料などをSlideShareやGitHubなどでインターネット上に公開すれば、それがそのままポートフォリオとしても有効活用できます。

チャレンジした分だけ積み重ねになるので、ぜひ検討してみてください!

ブログを始める

こちらは、今まで紹介したものに比べると始めるまでの敷居が低く無駄になる要素もないため、一番おすすめできる方法です。

前から「エンジニアたるもの、情報発信するべき!」との声もあり、まして情報が少ないセキュリティ関連の記事であればなおさら貴重です。

ブログも今は無料で品質の高いものがいくつもあるので、どれから初めても問題はありません。

その中であえておすすめを上げるとするなら、Hatena BlogQiitaから始めてみると良いかと思います。

ブログの内容も基本的にはなんでもいい…のですが、「なんでもいい」といわれると逆に何をしたらいいのかわかりませんよね。

ここではおすすめするテーマをいくつか列挙してみました。何をしたらいいのか迷ってる方は、興味があるものから始めてみてください。

  • 公開されたCVE検証記事(環境構築と実際に動かすところまでを紹介)
  • セキュリティ関連の技術書を参考にした、検証記事(例:XSSの脆弱性があるアプリを実装して検証してみた、など)
  • やられアプリの攻略記事(例:OWASP BWAの●●アプリを攻略してみた、など)
  • CTFのwriteup記事
  • ハニーポットの検証記事、攻撃のトレンド記事
  • ログ解析で学習したことのアウトプット記事(例:Splunkを構築して使ってみた、など)
  • セキュリティ関連資格取得に関する紹介記事

パッと思いつく限りでもこれぐらいあります。

ちなみに、ここで紹介したようなことは既に他の方が公開されていたりしますが、あまりそこは気にしてくていいです。

人によってやり方や環境が異なり、紹介の仕方なども個性が出るためかぶることはあまりないからです。

そもそもセキュリティ業界でどういった分野があるのかよくわからない…という方は、以下の記事でセキュリティ業界における役割などについて紹介してますので、参考にしてみてください。

未経験からセキュリティエンジニアに転職する際におすすめする4つの手順 セキュリティエンジニアはセキュリティリスクから会社または個人を守る専門家です。ITを活用する以上...

また、あくまで目的がポートフォリオとして有効活用するということなので、他のブログ内容と被っているかどうかはあまり問題ではありません。

気に入ったテーマがあれば、ブログを開設してぜひ始めてみてください!

他のブログ記事と内容が被っても問題ではありませんが、人のコンテンツをコピペしたりする行為は当然NGです。

最近流行りの副業として「ブログで稼ごう!」という波に乗っかりたい、という方は無料ブログはあまりおすすめできません。
無料ブログの利用規約として、広告を貼れないものや制限があるものが多いためです。
また、無料ブログは運営している会社の広告が入るため、単純に広告費をもらうにしても条件が悪いです。お小遣い稼ぎのつもりで収益化を狙うのであれば、レンタルサーバを借りてブログを運用してみることを検討してみてください。

これからレンタルサーバを始めるなら、ConoHa WING がおすすめです!
UIが使いやすく、月額費用も安いため最初の運用に最適です。

まとめ

今回は、昨今の就職時における流行りであるポートフォリオについて考えてみました。

私自身、セキュリティエンジニアの転職に関するポートフォリオはあまり聞いたことがなかったりします。

それは逆にいうと、就職活動を前提としたポートフォリオを意識してコツコツ作り込んで行けば転職時に有利に進められる可能性があるということです。

ポートフォリオは、業務経験や資格以外でアピールできる貴重な資料になるのでぜひ取り組んでみてください。