フリーター→ぜい弱性診断士｜趣味のアプリ制作の経験からセキュリティの道へ
「スクール選びで一番重視したことは、"本当に就職につながるか"でした。」

ありがとうございます。現在はレオンテクノロジーの診断部に所属して、お客様先で脆弱性診断や分析の業務に携わっています。

最初のきっかけは、趣味で作っていたアプリに『ChatGPT』を組み込みたくて、API連携を試したことでした。簡単につながると思っていたのに、APIキーの管理とか、アクセス制限とか、セキュリティ周りの設定が複雑で、全然うまくいかなくて…。

「あれ？これってどうなってるの？」って調べていくうちに、セキュリティの奥深さに引き込まれていった感じです。

はい！まさにそれです。

「うまく動かないからムカつく」じゃなくて、「なぜ動かないのか知りたい」っていう気持ちの方が勝って、調べまくりました。

そのあたりから、「セキュリティって”守るための仕組み”なんだな」って感じで、改めてその重要性に気づいたって形ですね。

一番重視したのは、「本当に就職につながるか」でした。

独学でも勉強できるけど、就職ってなるとまた別の話じゃないですか。

それで、就職支援がしっかりしていてセキュリティが学べるところを、ネットで調べまくりました。

その時に見つけた『セキュ塾』に「ここ良さそう」と思って資料請求して、実際に電話でも問い合わせてみたんです。

ちょっと不安だったので「受講前に何を準備しておいたらいいですか？」って聞いてみたら、すごく丁寧に教えてくれたんです。

はい。単に「大丈夫ですよ～」じゃなくて、「事前に少しコンピュータの基礎を復習しておくと、授業が理解しやすいですよ」とか、「ちゃんとこっちの立場で考えてくれているんだな」って思って、ここにしようと腹が決まりました。

あと、HPに講師のプロフィールも公開されていて、「講師が現場での経験が豊富な人ばかりだったこと」も信頼ポイントでした。

実際、授業の中でセキュリティの業務についた際のお客様先での対応の注意点なども教えてくれたりして、これは「ちゃんとしたスクールでないと聞けない話だな」って思いましたね。

やっぱり仮想環境の構築ですね。初めてだと、少ししんどいんじゃないかとも思います。

僕はもともとMacユーザーだったんですが、授業ではWindows環境が前提なので…最初は「なんとかなるだろう」と思っていたんですが、いざ演習が始まるとMacでは対応できないことが多くて…。

悩みましたけど、思い切ってWindiowsのノートPCを買いました。

出費は痛かったですけど、「そもそも現場はWindiowsが中心」だと聞いていたので、今のうちに慣れておこうという考えも働きました。

最初は操作にも戸惑って、仮想マシンを起動させるだけでも四苦八苦でした。

でも、その分「仮想化ってこういうことか」「OSによってこんなに違うんだ」ってことが実感できたように思います。

そうですね！トラブルを解決するプロセスそのものが学びになりました。

「なぜ上手く動かないのか？」を調べて、設定を変えて…の繰り返しで、自然とネットワークとセキュリティの基礎が身についていきました。

それで言うと、「仮想環境を一から自分で構築した経験」が、就職活動や入社後の実務でも、すごくいい方向に働いていますね。

実際、入社後の業務でも仮想環境の構築を求められる場面が多いんですが、「自分で一度つまづきながらやった経験があるから、自分にも対応できる」っていう感じで自信に繋がっています。

あと、正直に言うと「アクティブディレクトリ」の授業はめちゃめちゃ役に立ちました（笑）。

最初は全然意味が分からなくて…でも何度も繰り返し学ぶうちに、「ユーザー管理ってこういう仕組みなのか」とか、「企業でのアクセス制御ってこうされてるんだ」っていう理解が深まっていって。今では、「分かっておいて本当によかった科目のひとつ」になってます。

やってる最中は「向いてないかも」って何度も思ったんですけど、振り返ってみたら、その“苦手なところ”をちゃんとやったからこそ、今いろんな場面で対応できているんだなって実感しています。

講師の方々は、とても優しくて、慎重な方が多かった印象です。

経験豊富な現役エンジニアに、業界のリアルな話や、「お客さま先で見ていい範囲はここまで」といった注意点など、実務に直結したアドバイスをいただけることは、講座の魅力の一つだと思います。

「履歴を見れば初心者かどうか分かってしまう」なんて小技も教えてもらいました（笑）。

質問もしやすくて、関係ない話でも、ちゃんと受け止めてくれるので、資格勉強でつまづいた時にも、気軽にお話を聞くことができました。

「Drive-by Download（ドライブバイダウンロード）」という、悪意のあるサイトにアクセスするだけで、マルウェアが自動的にダウンロードされる攻撃手法の仕組みを、実際に体験できる演習はとても印象的でした。

フォレンジック演習では、セキュリティインシデントが起こった後の証拠収集やログ解析とかですかね…。

Webアプリケーションの脆弱性調査では、CVE（共通脆弱性識別子）に基づいた攻撃実践を通じて、どのようにWebサイトが狙われるのかを学びました。

DDoS攻撃の演習では、大量アクセスでシステムをダウンさせる手法と、その防御方法について実践形式で学びました。

どれも実際の現場を意識した内容で、最終的には総合演習として、報告書を作成し発表するという実務さながらの流れも経験して、非常に力がつきました。

YouTubeや『TryHackMe』なども活用して、ラジオ感覚で学んでいました。通勤やランニング中にセキュリティ系YouTuberの解説を聞いて、気になるテーマはあとでメモして調べ直すというスタイルです。

あとは、自分の好きな解説動画を見つけて作業BGMにしていました。オタクっぽい語り口が逆に面白くて、気を張りすぎずに続けられるんです。

ハンズオンで使うツールや、『徳丸本』など王道教材も繰り返し読み込みましたね。徳丸本は、サイバー演習の際にも非常に役立ち、「何か1冊持つならこれ」というバイブル的存在です。はじめはちんぷんかんぷんでしたが、少しずつ知識が積み重なってきてからは、やっぱりこれだと改めて徳丸本を読むようになりました。

また、Linux環境の操作やログ解析についても、（サイバーセキュリティ技術者育成コースの）録画を見ながら実際に手を動かして学習しました。バイナリやコマンドラインの扱いは最初戸惑いましたが、繰り返すうちに慣れてきて、実践で役立つスキルになっています。

独学だけだと「これで合ってるのか」と不安になることもありますが、スクールの演習と講師からのフィードバックで、「学習の方向性が間違っていないんだ」と自信が持てたこともありがたかったですね。

僕は、定期的に『キャリア面談』をお願いしていました。

資格勉強の進め方のアドバイスとか、これまでの経験の中で、自分では気づけてなかった強みや長所を整理してもらって、だんだん「あ、自分ってこんなこともできてたんだな」って思えるようになって、少しずつ自信も持てるようになりました。

正直、それまでアルバイトの経験しかなかったので、「これって面接で話してもいいのかな…？」って不安だったんですけど、逆にそこでの経験をどうアピールすれば伝わるかを一緒に考えてもらえて、面接でも話しやすくなりましたね！

たとえば、シフトに責任持って取り組んだこととか、忙しい時期でも工夫して仕事を回したこととか…。そういうのも「立派なエピソードになるんだよ」って言ってもらえて、その話が実際の面接の場で、「継続力」や「責任感」として評価に繋がったりもしました。

あとは、就職支援の方とのやりとりをきっかけに『自己分析ノート』を作りました。気づけば1冊の半分くらい書き込んでいて、甲斐あってか自分の強や価値観、仕事に求めることなんかをちゃんと整理できるようになっていきました。

最初は自分が何に向いているのか分からなかったのですが、面談を重ねる中で徐々に「こういう職場で働きたい」「こんな役割を果たしたい」という軸が見えてきて、自分なりの戦い方を見つけられたことが大きかったです。

他には、履歴書や職務経歴書などの応募書類の添削はもちろん、模擬面接、企業ごとの選考傾向に応じた面接対策も丁寧にしてもらいました。就活だけではなく、社会人としてのマナーや、自分では気づけない視点なども参考になりましたね。

自分の希望や不安を話しながら、どうやって自分と企業とをマッチしていくかを一緒に考えてくれるので、ただの情報提供という感じではなく“伴走してくれる”という安心感がありました。

資格は、取っておくと企業からの評価も上がりますし、自分の中でも「日々の学習が形になった」という実感が得られます。

私自身、最初は資格よりも実務スキルの向上を重視していましたが、就職活動に取り組むにあたって「やっぱり資格を取っておけばよかった」と思う場面がありました。

ただ、資格が全てではなく、取得を目指す過程で得た知識や学び、熱意をどう言葉で伝えるかも重要です。たとえ資格がなくても、「自分の目標に向かって努力している姿勢」や、「この分野で成長したい」という気持ちは、しっかり伝えればきちんと評価してもらえると感じました。

なので、可能なら1つでも資格を取ることをおすすめしますし、もし取れていなくても、それに代わる学習や実践経験を自信を持って伝えることが大事だと思います。

まずは1年目、現場での『脆弱性診断』をしっかりこなして、先輩方から知識やノウハウを吸収していきたいですね。あとは、レポート作成やお客様とのやりとりなど、現場対応の精度を高めるのが今の目標です。

3年後には、『ペネトレーションテスト』にも挑戦したいと思っています。

セキュリティ製品の開発や、インシデントレスポンスの自動化設計のような業務にも関わっていきたいですね。まだまだ経験は浅いですが、「作る側」の視点にも興味があります。

最終的には、攻撃手法を熟知し、それを防ぐ仕組みまで提案できるような存在になりたいです。

今はとにかく、目の前の一つひとつの業務を丁寧にこなしながら、確実に実力を積み重ねていくことを大切にしようと思います。

自分が言えることではないんですが…（笑）。最初は分からないことだらけで当たり前です。私も「これで合ってるのかな？」と不安になりながら学んでいました。

でも、あきらめずに手を動かして、わからなければ聞いて、調べて、また試して ー そんな積み重ねが、ちゃんと自信に変わっていきます。

「どこかでつまずいても、それが次の学びにつながる」し、今やっていることが、未来の自分を支えてくれると思って頑張って欲しいです！