Cyber-sec+ Advent Calendar 2024の12/19担当のニキヌスです。
今回はライトに、せっかく年末なので1年を振り返るものにします。
私にとってのこの1年はズバリ「SNS活動」です。
この活動を通して、自分の考えや気持ちが大きく変わった話をします。
井の中のニキヌス
私はこれまで10年間、金融JTCのセキュリティマネジメントをしてきました。
10年も働いて色んな資格を取って、さぞ色々知ってるんでしょうね!と思うでしょう。
外部との接点はセキュリティベンダやコンサルとの打ち合わせくらい。
事業会社間のやりとりは同業他社と時々話す程度。
どれくらい世間知らずだったかと言うと
「徳丸」という方の名前がついた本があるらしいですね…
「OSCP」という中国の科挙みたいな長時間の試験があるらしいですね…
「イエラエ」ってよく聞くけど有名な会社なんですかね…
みたいなレベルでした。(書くのも恥ずかしい)
案外それでも仕事は回るので、狭い世界にいることに気づきすらしないのです。
自分が仕事で積んだ経験なんて一歩外に出ると通用しないのだろうと思っていましたし、業界に対する思いとか考えたこともありませんでした。
kawaiiニキには旅をさせよ
私は23年3月にX(当時はTwitter)を始めました。
と言っても、最初は情報発信ではなく自己学習が目的だったので、ひたすら読んだセキュリティガイドラインのまとめを書いて、Xには「ブログ書きました」だけを投稿してました。
その後、年末頃から数名の方とやりとりするようになり、とある会話の流れでそういえば自分は何者だろう?を文章にしてみたのがこれです。
140文字でも書けないし、座談会とかいつ開くんだって感じなので思っていたことを書いてみました。
— ニキヌス (@nikinusu) 2024年1月8日
多分「自分の思うセキュリティマネージャは違う」とか色々ご意見あると思いますが、一つの形として。https://t.co/89fShWXTHc
予想外に多くの方から反応を頂き、自分の話に興味を持つ人がいるのか、と意外に思ったのを覚えています。
それからいくつか書くうちに、1月に100人程度だったフォロワーが3月には800人に増えて輪が広がりました。その後もセキュリティに関する発信を続け、雑誌に載ったり色々登壇したりしながら今に至ります。
この1年間、私は意識的に多くの人と会いました。
Hack Fes、セキュリティキャンプ、越後湯沢、CODE BLUE、AVTOKYOに行き(全て初参加)、セキュリティ飲み会や事業会社の情報交換会に参加し、それぞれの立場の人が何を考えているのか沢山聞きました。
以下は、その中で感じたことの一部です。
SNS活動から見た世界
セキュリティ業界地図
<ベンダ・コンサル編>
私たち事業会社側には、数あるセキュリティ企業の細かな違いは正直よく分かりません。
診断、SOC、ソリューションベンダ、いずれの領域にも複数の企業がひしめき「何故か各社No.1」な宣伝文が並ぶ中、結局なんとなくお付き合いのある大手企業を頼って安心しがちです。
でも、各社の"中の人"と会っているうちに、どんな偉人がどこにいて、どういう経緯で何に力を入れていて、競合他社をどう思っていて、、みたいなことがボンヤリ分かるようになりました。良くも悪くもガラリと印象が変わった会社もあるし、規模は小さくとも光る強みを持った企業も知れました。
<事業会社編>
事業会社側にも違いがあります。
※ベンダも事業会社ですが、ここではそうでない会社を指します。
業種ごとのセキュリティに対する厳格さ、取り組み方、投資額の違い。
キラキラベンチャーとJTC。中でも皆さまから愛されない金融業界。
業種の特色や規模によってもグループらしきものがあることを知りました。
超適当だけど、数十の事業会社セキュリティの方々と話して感じた全体感のようなもの。
— ニキヌス (@nikinusu) 2024年9月15日
各社色んな背景から各群に位置しているわけで、何かを批判する意図は全くないです(強いて言えば自己批判)
自分の場合、単にフレームワークベースの戦略作りではなく、リーダー群の考え方を意識しなきゃなと。 pic.twitter.com/8kifYUNUIe
そんな業界地図が分かると、その中での自社の立ち位置が分かります。
自社の強み弱みは何か。どの程度の成熟度か。大企業とはどういうことか。業界内で採用活動をする場合、何を売りにどんな人材層を狙うのが現実的か。
いずれも閉じた世界からは分からなかったことです。
ベンダ村と事業会社村
私は今年様々な立場の人と会いましたが、そういう動きをしない限り基本的に事業会社は事業会社の仲間と。ベンダはベンダの仲間と。出席するイベントもそれぞれ別。というように、両者が仕事以外で交わることは少ないように見えます。
立場が違うんだからそりゃそーだ。だけの話かもしれません。
しかし、その結果として、必要性を理解せずに投資するような分かってない事業会社側の人が生まれているとも思います。
「EDR入れたら満足」「SASE入れたらゼロトラスト」などはその一例です。
もし、事業会社の人がベンダの人ともっと気軽に交流できれば状況は変わるかもしれません。
けど、ベンダにとってすれば、勉強不足すぎる相手など「お客様」「スポンサー」ではあれど「仲間」として深く関わりたいとは思わないだろうとも思います。
勝手にそんなことを思っていたために、この1年間人と会いながらも、自分の中にはうっすらとした孤独感や劣等感が正直ありました。
(いや、実際には皆さんいい人達ばかりでした。単なるコンプレックスです)
だから、ベンダ並みとは言わなくとも自分も攻撃手法や技術を学ばねば。
私は事業会社の立場から、相手はベンダの立場から、目線は違えど一定の知識をもって仲間として話してもらえるようになりたい。
そんな思いを持つようにもなりました。
情報発信の価値と魔物
セキュリティベンダによる脅威動向や技術的な解説記事の量に比べて事業会社側の情報発信は全然少ないことも、SNSを始めてから知りました。
情報発信がもたらすメリデメ的な事情もありますが、自組織の取り組みなんて価値がない。ネタがない。という理由が圧倒的に多いように思います。
でも、上に書いた通り、そんなことは全くないです。
異なる立場の人の話には需要があるし、抽象化・汎化すれば出せることは沢山あります。
ブログや登壇みたいなものでなくとも、Xの140文字でも十分です。
発信すると、興味を持つ人が現れて、人の繋がりが生まれて、様々な思いもしなかったメリットが生まれます。
たとえば私は時々Xで悩み事を呟きますが、その度に様々なプロがアドバイスをくださって助けられまくっています。
それを当てにしてSNSをしているわけではありませんが、自分が発信していなければこうした方々と繋がり反応を頂くことはなかったでしょう。
アンチウィルスの「定期的なフルスキャン」って何のために必要なんだろう。
— ニキヌス (@nikinusu) 2024年11月5日
リアルタイムスキャンじゃダメでフルスキャンが必須な状況とは?
①リアルタイムスキャン時にはパターンファイル未対応ですり抜け
②その悪性ファイル入りのディスクをスナップショット取得…
一方で、気を付けなければならない魔物がいます。承認欲求です。
アウトプットすると反応が得られ、褒められて嬉しい。登壇後に多くの方から話しかけて頂いたり「いつもX見てます」とか言われると、まるで自分が偉大な何者かになれた気分さえします。
また、慣れてくると少しの体験や考えをアウトプットに繋げる筋肉が養われます。
こうして気分の高揚とともにアウトプットが加速することは良いことですが、あまりに没頭すると気づいた頃には出涸らし人間になりかねません。
「アウトプットしないのは知的な便秘」と言いますが、「アウトプットしすぎは知的な下痢」であり栄養失調に陥ります。
得た経験や工夫はアウトプットし続けたいと思いますが、バランスが大事です。
出会いは人を変化させる
この一年間で、想像していなかった2つの変化が自分の中で起きています。
一つは、自分が積極的になったことです。
人と会うことも新しい機会に飛び込むのも、格段に前向きになりました。
Tryhackmeをしたりハンズオンイベントに参加するなんて、以前の自分からは想像できなかったことです。
もちろん技術力は低いので役には立てていません。けど、やってみれていることが嬉しいのです。
もう一つは、私がセキュリティを好きになったことです。
元々嫌いだったわけではないですが、以前は単に給料を稼ぐための仕事でした。
気軽に相談できる仲間や興味を持ってくれる人が増えるうちに、自分ももっとこの世界で何かをしたい・提供したい。という意識を持つようになりました。
うまく言えませんが、SNSを通じて多くの人と話し、羨み、憧れ、焦り、感情を揺さぶられた結果、「お仕事としてのセキュリティ」から「セキュリティ界で生きる人」に気持ちが変わったのだと思います。(しかし給料も大事)
おわりに
取り留めのない振り返り話はこれで終わりです。
私にとってSNS活動は間違いなくやって良かったし、多くの刺激と学びを得られました。
セキュリティは知恵を出し合って進めやすい領域ですから、炎上と漏洩とマサカリと承認欲求にさえ気を付ければ(多いな)皆でどんどん発信しあえるようになると嬉しいです。
ちなみに、そういう思いから私のXにおけるフォロー・フォローバックポリシーは「セキュリティに関して何かしら自分の言葉を呟いている人(マサカリおじさん除く)」です。
もし自分呟いてるよ!という方がいたらフォローしたいのでぜひ教えてください。
そして今年1年で関わっていただいた皆さま、本当にありがとうございました!
2025年も皆でセキュリティ沼を楽しみましょう!
明日のアドカレはkyanさん(@uranariz)です。お楽しみに~
これまでの記事一覧はこちら
