7/12

わたしはWebアプリケーションの開発や運用を10年ばかりやった後でひょんなことからセキュリティの世界に転じています。

悩ましいのは、ちゃんと動くことに喜びを感じる開発者から見ると、何でもいいから開発者の意図の裏をかけたら楽しい、侵害できたら楽しい、みたいに思っているこちらの世界のモチベーションが全く理解できないでいます。例えば、脅威インテリジェンスとか扱う仕事が、実務上やらなきゃならないのはわかるんですが、もとの興味から離れすぎてキャリアに悩みます。セキュリティ業界の方の関心って、どこに向いているのですか?お金ですか?確かにそういう方も多いですね。

「何でもいいから開発者の意図の裏をかけたら楽しい、侵害できたら楽しい」というのとは違うと思います。それは攻撃者の発想です。脆弱性診断の場合ですと、大半は単純作業の繰り返しですが、たまに「引っかかる」箇所があります。単純パターンでは説明がつかない箇所ですね。それに対して「仮説」を立てます。挙動から逆算して、挙動を説明できるように、ブラックボックスであるプログラムの内部(ソースコード)を予測するわけです。しかし予測はあくまで仮説ですから、仮説を立証するための実験の計画を立てます。その実験の結果が仮説を裏付けるものであり、疑いがないまでになれば、仮説は正しいと考えます。逆に仮説では説明がつかない挙動になる場合もあり、その場合は仮説が間違っているので、別の仮説を考えます。この仮説検証は、プログラミングとはまた違った形で、知的な面白みがあると思います。 しかし…私はこうも考えます。人間の興味のベクトルというものは、人それぞれに違います。質問者さんはきっとプログラミングは楽しいのでしょうね。私もプログラミングは楽しく大好きです。しかし、teratailなどの質問サイトには、「私はプログラミングが全然面白くない、どうしたらいいでしょうか」という質問が定期的に投稿されます。私はこの手の質問には冷淡でして、「つまらないのであれば無理にやらなくてもいいのでは?」と思ってしまうのですが、そう回答するのも身も蓋もない気がするので黙っているのです。おそらく色々事情があって、つまらないけれども他に適当な職業もなく、まさに「お金のために」やっている人も大勢いるのだろうと思います。そして。動機はともあれ、そういう方々も日本のITを支えている人たちなのだと思います。そもそも、「お金のために」ということ自体も立派な動機ですしね。 セキュリティもきっとそうで、「会社から指示されたのでセキュリティを担当しているが、ちっとも面白みがわからない」という方も大勢いるのだろうと思います。質問者さんは「実務上やらなきゃならないのはわかる」とおっしゃっていますので、日本のセキュリティを守る一員という崇高な目的を掲げて頑張るか、どうしても興味を持てないから開発の仕事に戻るか、それは質問者さんが決めることだと思います。

スポンサーリンク

スポンサーリンク