専門化する

さて、セキュリティの基礎を学んで、 次は自分の好きな専門を探せなければなりません。

今までは自分なりに「どうやってセキュリティ業界に転身したか」について書きましたが、 「サイバーセキュリティの仕事を始めるには？」というアドバイスは「医者の仕事を始めるには？」に似ています。 神経外科医に尋ねれば、皮膚科医に尋ねれば、同じ医者なのに全く別のアドバイスをされるでしょう。 セキュリティーの専門家に聞いても、その人の経歴や好みによって、いろいろな答えが返ってくるでしょう（例えば、このブログ）。

ですから、自分が好むであろう領域を探して、 探し出すのがいいでしょう。

その理由もあって、今まで基礎を押し込んできました。 あらゆる専門を厳密に分からなくても、 ある程度何を指しているかが分かるようになるはずです。

セキュリティの領域グラフ

オッペンハイマー・ホールディングスの CISO である Henry Jiang 氏はタメとなる領域グラフを作ってくれています。

本稿投稿時、3.1版が最新のようです。

基礎を勉強したら、以下はどのことを指すかがある程度分かると思いますので、 大雑把に（左から統計周り）

1. Physical Security（物理的セキュリティ）： 機械をハッキングしたり、物理的なもののセキュリティを破ること
2. Career Development（キャリア開発）： セキュリティ人材のキャリアアップを支援
3. Security Architecture（セキュリティ・アーキテクチャ）： 他人が使うインフラストラクチャプラットフォームをセキュアに築く。
4. Frameworks & Standards（フレームワーク＆スタンダード）： 名前通り
5. Application Security（アプリケーション・セキュリティ）： 開発者が作るもの（アプリ）と、構築で使っている環境のセキュリティを保つ
6. Risk Assessment（リスク評価）： 起こりそうなリスクに関して何をするかを考える（ざつっｗ）
7. Enterprise Risk Management（全社的リスク管理）： コンサル会社が金をとるためにやること 企業に潜む潜在的なリスクを特定し、そのリスクを無くすまたは最小限に抑えるための管理を検討
8. Governance（ガバナンス）： 健全な企業経営を行うためのセキュリティ管理体制
9. Threat Intelligence（脅威インテリジェンス）： 脅威について収集・分析した情報と、それにより得られる知見等の情報を活かす
10. User Education（ユーザ教育）： 非セキュリティ人材向けのセキュリティ・トレーニング
11. Security Operation（セキュリティ・オペレーション）： 防衛を目的としたセキュリティ監視

この領域グラフにいくつかの修正提案をしたいところですが、 専門を探す初心者向けには充分です。

グラフにて興味深い領域の線を追って、 どの業務があるかをぜひ調べてみてください。

あらゆる領域を見ても、まだどの業務にたどり着きたいかが分かりませんが、 「攻撃したい！」、「防御したい！」程度の考えがあるかもしれません。

そのための別のセキュリティ領域の考え方を共有します。

セキュリティのカラーホイール

セキュリティに興味を示したら、 少なくとも一度「レッドチーム」と「ブルーチーム」という言葉を耳にしたでしょう。

• レッドチーム： 攻撃者として雇われた従業員や契約社員で、悪意ある人が悪用する可能性のあるセキュリティホールを見つける組織のために働くハッカー
• ブルーチーム： 組織内の防御策を担当する「ディフェンダー」

最近は「パープルチーム」とよく聞くようになったと思いますが、 他に4つの色チームがあります。

上記レッドチームとブルーチーム程あまり一般的ではないので、 話す相手によって理解してくれないかもしれません。

僕はこのカラーホイールにけっこう納得がいきますので紹介します。

• パープルチーム - 赤を最大化する。青を強化する： 攻撃と防御の両方の仕組みを理解するメンバー
• イエローチーム - 構築者： セキュリティを考慮したアプリケーション開発者、ソフトウェアエンジニア、アーキテクト（セキュア・バイ・デフォルト、セキュアコーディング、セキュリティテストなど）
• オレンジチーム - 攻撃考慮で開発者をインスパイア： イエローチームのセキュリティ意識を高め、ソフトウェアコードや設計の実装に有益な教育を提供し、セキュリティ意識を向上させる
• グリーンチーム - コーダーで防御を強化する： コードベースとデザインベースの防御能力を向上させる
• ホワイトチーム - すべての色を一つにする： ホワイトチームが二次色のチームと交流することで、二次色が出身である原色の言語を理解し、セキュリティパズルの複数のピースを理解するため、対立が減少する

今まで勉強してきた基礎と、 セキュリティの領域グラフとセキュリティのカラーホイールを持って、 自分が好きな仕事を見つけられれでしょう。 きっとあります！

見つかったら、ステップアップする方法は自分で計画を立てた方がいいですが、 このサイバーロードマップ（←このサイトをブックマークしましたよね？）を見て、 Beginner, Intermediate, Expert で何があるかを見て計画に役立つかと思います。

自分の特技を見つける

かなり先の話になりますが、 企業に必要とされる存在になるため、 かつ、いっぱいお金を払ってもらうため、 自分の特技を見つけることをおすすめします。

特技は「この分野や技術なら誰にも負けない自信がある」ものです。

転身して来た人は基礎がなく、 昔からこの業界で活躍している人と比べて、 追いつくのが大変で、 他の人より遅れている・・・と思うかもしれません。

が、しかし！

転身した人の強みとしては「セキュリティ以外の経験がある」ことです。

セキュリティは、あらゆる業界の人のチームの方が強いのです。 なぜなら、多様性のおかげで新しい発想が生まれるわけです。

例えば、僕はウェブマーケティングの経験があるため、 ウェブマーケターが追加するサードパーティスクリプトとそれに伴うセキュリティ問題についての講演ができたわけです。 僕が知っている限り、この問題があまりセキュリティ業界で今まで話されていなかったです。

同じく、前職（現職）でやっていることをセキュリティに活かしましょう！

結論

ここまで読んでくださってありがとうございます！

おそらくこれまででは一番長い投稿です。

改めてですが、あくまで僕の経験からの「セキュリティ業界に転身するための方法」で、 黄金の道と思っているわけではありません。 僕の経験を、事例として頭の片隅においておいて、自分なりの道を歩むといいのです。

なお、自分に合うセキュリティの仕事を見つけるまでは、それなりの努力と時間が必要ですね。 パソコンとネットワークの基礎から開発まで、ときには「セキュリティやりてぇんだから！」と思うかもしれません。

一方、基礎を無視していきなりセキュリティに飛び込んでもいいですが、 いつかは知識不足に追われて勉強しなければならないでしょう。

もう一方、時間の関係やなどでそこまで時間が割けられないかもしれません。 その場合、賢く項目を選定して、自分なりのブループリントを作りましょう。

以上はあくまで、一つのブループリントに過ぎないです。 もっといいブループリントがあるかもしれませんし、 逆にいくつかのテーマはちょっと細かすぎるような気が、僕もします。

一度はこの投稿らを読んで、最初は真似して、 そしていつかは何が重要か、何を捨てればいいかが分かり、 自分なりのブループリントを自然と作るでしょう。

本気でこの業界に入りたいなら、努力する価値があるのです。

幅広くて面白い業界で、 社会をよりセキュアにするやり甲斐と実感があり、 親切なコミュニティがあり、 世界中のカンファレンス参加のため世界中に旅行ができ、 恵まれた素晴らしい職種です。

その上で金銭的にも今は居て損しない業界でしょう！

努力をし続ければ、きっと誰かが手を伸ばしてくれるでしょう。 そして、あなたも次の人へ与えられるものを与えてください。

待ってます！

以上