Motsulog

セキュリティの周辺でもぞもぞするだけの自分用メモ

セキュリティエンジニアって

このブログ自体がセキュリティ関連の自分用メモとして始めたのだが、セキュリティって相変わらずなんだかよくわからない。

何ができたらセキュリティエンジニアなんだろう。。。

2005年から8年間、セキュリティ製品のディストリビューターに勤めたが、結局皮をむいてもむいても「TCP/IP + オープン系アーキテクチャ(= x86系)上で動作するOS(≒Windows & Linux)」周りの技術しかない。

「セキュリティに固有の技術」なんてないじゃんと思い、「x86システムの運用管理」が自分の守備範囲だと理解してここまでやってきた。

さて。最近セキュリティなるものに少し興味がわいたとき、じゃあDEFCONとかってなんなんだと。

バグハンティングとかマルウェア解析とかって、システム/アプリケーション開発者の領域だよね。Cを基本として複数のコンパイル言語で開発できるスキルを持っているという。ここにはシステム管理者の出番なし。

ペンテスト?なんかツールの使い方を覚えるだけのような気がする。やったことないけど。

インテリジェンス?技術なんも使わないでしょ。どっちかっていうと論客・ジャーナリスト系で、それは目指す技術者の姿じゃない。コンサルとかまったく興味なし。何が面白いのかわからん。

今はただ、ニュース周りをうろついて話題を集めているというだけ。まあ、バグハンティング・エクスプロイット解析だと言われちゃうと、じゃあ開発系のスキルがないとダメじゃん、となって終了。

まあそうなのかもね。ハッカーというカテゴリーに入るためにはシステム開発、アプリケーション開発ががっつりできないと難しいのかもね。そうするとホワイトハッカーなんて一国の中に数えるしかいないって。

じゃあその周りでうぞうぞしているのは何なんだと。ハッカーと言われる人たちが出してくれる情報を読み込めればいいんだったら、やはり「セキュリティスキル」なるものは存在しないと思うんだけど。

そう思って興味を失くしていたわけだが、結論を出すのは少し早いか。もう少しうぞうそしてみるか。

# だからこの定義だと、ペンテスターとか監視員とかはハッカーではない。もっというとセキュリティ技術者ですらない。とある職種に就いているエンジニア、というだけ。たとえばサポートエンジニアとか情シスとかと同じ。