Flatt Security セキュリティエンジニアの情報収集術と技術研鑽のための支援制度を紹介します!
目次
普段の業務では Web アプリケーションや GraphQL API、Firebase 等のセキュリティ診断を行いつつ、内製のセキュリティ診断プラットフォームである ORCAs の開発や「トリリオンゲーム」の監修にも取り組んでいます。
さて、タイトルにも書いた通り、エンジニアとして第一線でバリューを発揮し続けるためには日々の情報収集が不可欠です。しかし、様々な情報が溢れているこの時代において、どのようなソースから、どのような方法で、どのような情報をどのくらい取り入れるかは非常に重要な課題です。この記事を読んでいるあなたも「どのようにすれば効率よく情報収集ができるのだろうか」という問いに悩んだことがあるのではないでしょうか。例に漏れず私もそのうちの一人です。
そこで、今回は Flatt Security 社内のセキュリティエンジニアにアンケートを取り、普段どのように情報収集を行っているか調査してみました。本記事の内容が、今後のみなさまの快適な技術研鑽ライフに貢献できるのであれば幸いです。また、本記事では合わせて Flatt Security の福利厚生である技術研鑽のための支援制度についても紹介したいと思います!
どこから情報収集してる?
情報収集を行う上でまず考える必要があることは「どこから情報収集するか」ではないでしょうか。
パッと思いつくだけでも、書籍、技術ブログ、カンファレンスの講演資料、論文、ポッドキャスト等々様々なリソースがあり、その使い分けも悩ましいところです。
そこで、まずは「普段どのようなリソースを使って情報収集を行っていますか?」という内容でアンケートを取ってみたところ、結果は以下のとおりとなりました。
最も使う頻度が高かったものは「Webサイト・ブログ」であり、回答した全員が「頻繁に使う」か「よく使う」と回答していました。また、書籍やカンファレンス資料も比較的多くのエンジニアが利用しており、次いでバグバウンティレポート、論文、ポッドキャストという結果となりました。
全体的に、これから入門する分野の全体感を知りたいときや体系的に学びたいときは書籍を、最新の技術トレンドや興味のあるトピックをつまみ食い的に知りたいときはブログやカンファレンス資料を、セキュリティ診断の質や量を洗練させるためにバグバウンティレポートをそれぞれ活用しているという意見が多く見られました。
ちなみに、Flatt Security には福利厚生として書籍購入支援制度があり、欲しい本 (主に技術書) がある場合は Slack のワークフローを使ってとても簡単に申請することができます。
購入した本はオフィスの本棚に並べられ、社員であれば自由に読むことができます。
ちなみに、筆者は技術書が好きすぎるあまりに、最近社内 Slack に技術書チャンネルを立ち上げました。業務の傍ら、日々最新の技術書情報の収集に勤しんでいます。
また、Flatt Security にはカンファレンス・セミナー参加支援制度も用意されています。通常、カンファレンスやセミナーの参加費用は (特に海外の場合は渡航費なども合わせて) 高くつきがちですが、この支援制度を利用することで、費用を心配することなくイベントに参加することができます。
なお、本制度を利用して BSides Las Vegas、BlackHat USA 2023、DEF CON 31 に参加したエンジニアの渡航記録が技術ブログで公開されていますので、こちらもぜひご覧ください。
さて、上記に挙げたものに加えて、以下のようなリソースを使って情報収集をしているエンジニアもいました。
- ORCAs に蓄積されている脆弱性データベース
- 社内 Slack に流れてくる RSS フィード
- GitHub 上で公開されているソースコード
- AWS の Blackbelt
このうち、「ORCAs に蓄積されている脆弱性データベース」は、弊社のセキュリティ診断においてこれまでに検出した脆弱性に関するレポートをまとめたデータベースのことです。ちなみに、ORCAs とは Flatt Security が社内で開発しているセキュリティ診断プラットフォームのことで、セキュリティ診断業務で扱う成果物はほぼ本プラットフォーム内で作成することができるようになっています。ORCAs の詳細は以下のエントリに記載していますので、ぜひご覧ください。
セキュリティエンジニアは案件固有の機密情報を除いて、このデータベースを閲覧することができます。
本記事を執筆している時点では3000を超える脆弱性情報が蓄積されており、不定期で技術的に学びがある脆弱性を発表する、通称「おもしろ Finding 発表会」も開催されています。
(※ Finding はセキュリティ診断で検出された脆弱性のことです)
また、「社内 Slack に流れてくる RSS フィード」は、セキュリティ関連のニュースやエントリが自動的に流れてくる社内 Slack のチャンネルのことで、エンジニアは流れてきたエントリや興味のあるエントリを共有したり、議論したりしています。
おすすめの書籍・Webサイト・ブログ・カンファレンス等は?
次に、おすすめのリソースについてアンケートを取ってみたところ、以下のような回答が得られました。
- 出版社
- O’Reilly Japan (https://www.oreilly.co.jp/)
- ラムダノート (https://www.lambdanote.com/)
- 書籍
- Webブラウザセキュリティ(※)
- 詳解セキュリティコンテスト(※)
- 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
- ハッカーの学校シリーズ
- Web サイト (バグバウンティ系)
- Web サイト (ブログ系)
- Youtube
(※のついたものは弊社あるいは弊社メンバーが執筆したものです)
全体を通して、書籍は流行に左右されにくい基礎的な知識を提供してくれるものが、Web サイトや動画は情報の鮮度や内容の妥当性、ジャンルの広さがあるものが好まれているという印象を受けました。
私も初めて見たものについてはひととおりアクセスしてみましたが、どれも勉強になるリソースだと感じました。読者の皆さまも、気になったものがあればぜひ確認してみてください!
情報収集に当たって工夫している点は?
大量の情報が流れ込んでくるこの時代、どこから情報を取り入れるかだけではなく、どのように情報をインプット・アウトプットするか、取り入れた情報をどのように整理するか、それら全体のプロセスをどのように効率化するかといった事項も重要な課題です。
そこで、引き続き社内のエンジニアに情報収集にあたって工夫している点を尋ねてみました。
- インプットの工夫
- ブログやバグバウンティレポートについて気になる記事を少なくとも週1つ選び、深く読み込む
- RSS リーダー (Feedly) を使って興味のあるエントリに絞って収集する
- X で専用のリストを作る
- 個人の Slack に RSS フィードを流す
- まとめ方の工夫
- 個人の Wiki (Notion や Obsidian など) に書き出し、情報同士を紐づける
- 英語のエントリを DeepL で翻訳しつつ、誤訳を修正して日本語で書き直す
- 調べたらわかるものはまとめず、その場で理解する (情報の引き出しだけを残す)
- ChatGPT を使って学んだ内容を要約する
- アウトプットの工夫
- 学んだ言語やフレームワークを使って適当なアプリケーションを実装する
- 学んだ攻撃手法を手元の環境で再現してみる
- エントリの中で気になる部分をメモし、自分の言葉で説明できるようになるまで繰り返す
- 社内ブログに勉強したことをまとめる
- 社内で勉強会を開催する
- 効率化の工夫
- 自明なバグバウンティレポート (典型的なペイロードが利用されたものや、新規性がないもの) は読まず、できるだけロジックの不備など新規性や技術的な面白さがあるものを集中して読む
- 個人の Wiki 内で情報をまとめるためのワークフローを整備する
全体を通して、様々なツールや自動化のためのワークフロー等を駆使して情報収集を効率化していることがわかりました。また、「調べたらわかるものはまとめず、その場で理解し情報の引き出しだけを残す」や「情報量の少ないものを切り捨てる」といった観点は個人的に興味深いと感じました。
ちなみに、社内ブログは日々更新されており、プログラミング言語の仕様からペンテストツールの便利な使い方 Tips まで、様々な内容が掲載されています。2023年はおおよそ週1本ペースでブログが公開されていました。
なお、この社内ブログの背景は以下の記事に記載されていますので、こちらもぜひご覧ください。
どれくらい情報収集に時間をかけてる?
最後に、平均して一日にどの程度技術関連の情報収集を行っているか尋ねてみました。
| 平均値 | 1.57 |
|---|---|
| 中央値 | 1 |
| 標準偏差 | 1.23 |
※ 単位はすべて時間(h)
以上より、おおよそ1日あたり1〜2.5時間程度を情報収集にあてている事がわかりました。上記は平日 (営業日) の結果ですが、中には休日に8時間程度も情報収集にあてているエンジニアもいました。
本記事を読んでいる皆さまはいかがでしょうか。
おわりに
本記事では Flatt Security 社内のセキュリティエンジニアを対象に取ったアンケート結果をもとに、効率的な情報収集のための様々な手法を紹介しました。合わせて、社内ブログ等の取り組みや、 Flatt Security の福利厚生である技術研鑽のための支援制度を紹介しました。
なお、Flatt Security には本記事で紹介したもの以外にも外国語学習支援や資格取得支援など、様々な支援制度が福利厚生として用意されています。こちらもぜひご覧ください!
本記事の内容が、皆さまにとって新しい発見のあるものでしたら幸いです。
それでは、ここまでお読み頂きありがとうございました。