Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ業界にn年いて思ったこと
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
misQ
August 24, 2021
Business
0
670
セキュリティ業界にn年いて思ったこと
Infra Study #4のLTで発表したもの(
https://forkwell.connpass.com/event/219136/
)
misQ
August 24, 2021
Tweet
Share
More Decks by misQ
See All by misQ
イベントログ解析ツールのあれこれ
_misq_
3
1.8k
今夜、調べてみました-ペネトレーションテストis 何?-
_misq_
1
180
Other Decks in Business
See All in Business
株式会社ネオキャリア_新卒採用ピッチ資料_20260201
neo_recruit
0
2.7k
VISASQ: ABOUT US
eikohashiba
15
560k
Go beyond the dashboard; Empowering every team to act on data
marreta27
0
1.4k
BizDocVQA: 実世界ビジネス帳票に対する根拠付きVQAデータセットの提案
icoxfog417
PRO
0
150
Rakus Career Introduction
rakus_career
0
490k
透明性レポート(2025年下半期)
mercari_inc
0
810
社内政治と交渉
muture
PRO
0
140
Claude Coworkで 非エンジニアも業務効率化しよう
suzakiyoshito
0
1.8k
AIエージェント時代のハーネスエンジニアリングとは
tame
1
1.2k
Webinar 04.03.2026 Nuevo marco de contratación, suministro y atención a la clientela en el sector eléctrico
neuroenergia
PRO
0
260
ARグラスが当たり前になったら、デザインってどう変わる?Spectrum Tokyo Festival 2026 #spectrumfest26
arisan
0
150
株式会社gecogeco 会社紹介資料
gecogeco
2
3.6k
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Paper Plane (Part 1)
katiecoart
PRO
0
5.6k
Docker and Python
trallard
47
3.8k
BBQ
matthewcrist
89
10k
Producing Creativity
orderedlist
PRO
348
40k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
92
The #1 spot is gone: here's how to win anyway
tamaranovitovic
2
990
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.4k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
120
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
83
Transcript
セキュリティ業界にn年いて思ったこと Infra Study 2nd #4「セキュリティエンジニアリングの世界」 LT
注意 本LTはざっくばらんになんか思ったことをしゃべってるLTです。 期待せず肩の力を抜いてお聞きください 本発表は所属する会社を代表するものではありません このLTを見て体調に不調が発生した場合、 当方は一切の責任を持ちません このLTを見てイライラした方は自粛疲れの可能性があるので カルシウムをとってお部屋の中でもいいので運動しましょう 背景: 背景:https://jp.freepik.com/vectors/background
https://jp.freepik.com/vectors/background
お前誰や 名前:misQ 好きなもの:好き 嫌いなもの:嫌い 主催:雰囲気セキュリティ 発表歴:いろいろ発表とかしている 元々は構築とかソフトウェア開発している側の人間だったが、セキュリティの部 署に異動となって、調査とか検証とかPoCっぽいことを現場作業者だけど見積 もり書いて契約処理して実務して管理して納品まで全部自分でやる人。好き なものは攻撃側の技術。
所属:所属……?うっ頭が……
とりあえず話してみよう →(1か月前)よし、資料作ったぞ! →(1週間前)少し修正とか確認しておかないとな →あれ?ファイルがない? え、もしかして資料作ったときに保存ミスった?
うわぁぁぁぁぁぁぁ というわけで、元の原稿の内容を忘れてしまったので再度作り直し
あれ連絡来ないな?LTとかってタイトルとか不要なのかな? →(当日)あれ?久しぶりにTwitter開いてみ たら珍しくメンションついてるぞ? →運営:「メールもTwitterも連絡つかんから キャンセルさせてもらうよ?」 →ファッ!?
運営:「準備したんだったらしゃべってもいいですよ」 運営の方々にはご迷惑をお掛けしてしまい 誠に申し訳ございません 懐が深いForkwellさんに感謝
Infra Studyにお越しの方で セキュリティ関連の業務をしている人っ てどれくらいいるのだろう
TL;DL セキュリティはトピックスは常に出てくる面白い分野だが、ビジネスだといろいろ 難しい 人材確保が難しい ネットワークもしくはサーバの構築とかを押さえたうえでセキュリティの知識 を押さえた人材の育成をしないとオペレータにしかならない問題 セキュリティ製品/サービスを扱っている会社はたくさんある 海外ベンダの製品をそのまま売る「代理店」のケース、それ以外の検証、 開発、運用、コンサルで帳尻をとるケースと様々 発注側と受注側はパートナーとして事にあたりましょう
憎んでもいいが前に進むための力として使えないのであれば双方辛くなる
セキュリティってどうなんだろう?(曖昧) 会社の別部署の若い年次の後輩から「こっちの部門でもセキュリティをやるぞっ て言ってるんですが、セキュリティって何を分かっていればいいんでしょうね?」と 言われる 自社で開発しているセキュリティ製品を持ってるベンダーでない状態でn年間 業務してたらセキュリティビジネス難しいという気づきを得た 案件面 人材面
案件面 作業が遅れたり、誤りがあったらどうなるか 運用やセキュリティは作業のミスが攻撃を受けて大ごとになったときにサービ ス停止まで行く セキュリティは場合によっては業務のすべてが停止する可能性もある 開発や構築は(全くよくないが)発覚タイミングによっては新サービスは最悪リ リースを遅らせるという行為ができなくはない
そもそも案件化まで結びつかん 顧客としてもお金を出したからと言って新たな利益を積むというよりは保険のよ うなものだからそこまで大きくお金を出す判断出しづらい でも、セキュリティ製品やら関連する案件は高いという風潮 ものによるが結構ベンダから仕入れて稼働足すと結構な金額になりがち 各製品を連携をすることで稼働を足しやすくなっていたけど、それも各種 ベンダーやプラットフォームが公式連携するとそこで大きく稼働が取れない お金を出した後に要望に食い違いが発生したりすると大体つらいことになる 管理・交渉・契約でしっかりと対応できていないと訴訟になるし、診断とか であれば事前の調整が甘いと攻撃だと判断されることもある
人材面 セキュリティ人材が少ないと言われてるけど……そもそも簡単に増やせるのか? セキュリティは基本的にベースを理解していて初めて成立する分野だと思う サーバ構築ができるとか、ネットワークの基本は分かっているとか 昨今だったらクラウド環境の設定を適切に そうじゃない場合「ツールだけ使える」とか「なんか他の人が作ったものを評 論するだけ」人材が多い気がする
人材育成 人材育てるのも(どの業界もそうだけど)基本的に難しい 基本OJTベースにならざるを得ない 部署、上司、先輩ガチャが発生→突然の転職 それ以外のところは個人の勉強ベースになってしまいがちになる セキュリティ関連は曖昧なバズワードが多く出てくる。新たな情報が出てくる のが開発とか構築とかに比べて範囲が広くかつ早い 関連する研修/資格が基本高い(気がする) SANSとかだと研修/資格(GIAC/10万円)込みで100万円ぐらい
顧客に分かっておいてほしいこと これ入れれば未来永劫大丈夫なんてものは存在しない 新たな脆弱性や攻撃は出てきているので、セキュリティ製品を入れたままにせ ず更新とかをしていってください なんでセキュリティは値段高いのか 正直高いのはセキュリティ機器のベンダーの価格が結構高くてそれに人件費 上乗せると高くなりがち 価格抑えて結局いろいろ付け加えられると現場壊れちゃう PMとか営業の交渉が必要になるが大体もめる 受注した側はパートナーとして提案して対処もするが、だからといって顧客側で
セキュリティを丸投げしてしまうと非常に厳しい 常に不摂生をし続けている人が自身を何とかせずに、医者にすべてを丸投 げしてしまっているのはよろしくないという感じ
まとめ セキュリティはトピックスは常に出てくる面白い分野だが、ビジネスは結構厳し いと思った セキュリティ扱っている会社はたくさんある ベンダの製品をそのまま売る ベンダの製品を使って検証、開発、運用、コンサルを主力とする 人材確保が難しい 基礎的な知識を抑えたうえでのセキュリティの知識を抑えた人材の育成 をしないとオペレータとして肩身が狭くなっていく セキュリティは分野に幅がある。管理側はスキルの把握、育成の方針を
固めていきましょう 発注側と受注側はパートナーとして事にあたりましょう 憎んでもいいが前に進むための力にならないのであれば双方辛くなる
終わり
_misq_
neo_recruit
eikohashiba
marreta27
icoxfog417
rakus_career
mercari_inc
muture
suzakiyoshito
tame
neuroenergia
arisan
gecogeco
eileencodes
katiecoart
trallard
matthewcrist
orderedlist
ryanjones
tamaranovitovic
aleyda
panda_program
jdejongh
marcelosomers
techseoconnect
