FY20の振り返りとFY21に向けて
弊社のFY21が6月から始まっています。
と言ってもコロナでバタバタしていたり在宅で日付の感覚がなくなったりとあんまり感覚がなく、振り返りもできてませんでした。
今の会社に入って丸3年経ち、色々振り返りつつ今の気持ちを書いていこうかと思います。
2019/6ごろ
某社のフォレンジック対応をしておりました。フォレンジックといってもいわゆる端末の解析とかではなく、残っているシステムのログから影響範囲と情報漏洩の有無を検証するようなジョブでした。
某社の客先に詰めて日次で進捗報告し、確か2ヶ月くらい?対応してました。めちゃくちゃ大変だった訳ではないですが、メンバーのスキルに差があったり、クライアントの期待値コントロールができていいなかったりしており、マネジメントの重要性が再認識できたなと思います。
2019/7〜11
ここからは思い出したくもない地獄のジョブでした。マジで心と体が限界まで来てました。何度も辞めようと思いました。
8月にBlackhat/Defconへ行きましたが、アメリカの夜は日本が朝で、要するに24時間稼働しているような状態でした。BH/DCに行ってなかったら死んでました。マネージャー、私の代わりに現地でフルボッコにされてくれて本当にありがとう。おかげでまだ生きてます。
なお、某サービスのセキュリティアセスメントでした。
2019/12〜2020/3
上記サービスのリリース後の色んなセキュリティ対応をサポートしてました。2月くらいから徐々に会社がリモートになってきました。
2020/4〜今
ほぼ同じ仕事をしてます。
会社としてはリモートは基本継続ですが、客の事情で出社したりしなかったりです。
そろそろ飽きてるのに、一向に同じ仕事なので、別のところから仕事をとってきて何とか抜け出す算段をしています。
リモート中はぶっちゃけクッソ暇だったので、勢いでAWSのソリューションアーキテクトアソシエイトを受けて合格しました。
今年の資格はあとCISMでも取ろうかというのはありますが、OSCPも会社からは受けろと言われており、、、どうすっかなと思ってます。というか俺のスキルではOSCPは100%受からん!
FY21に向けて
昨年はキツイ案件も多かったですが、改めてサービスを作るということが楽しいと思いました。
今年はちょっと転職市場も見つつ、サービス開発におけるセキュリティのあり方を考える年にしたいなと思います。テクノロジー、体制、ガバナンス、プロセス、色々な観点はありますが、できればテクノロジーをプロセスにフォーカスしていきたいと思います。
あとは、一点極めるより、マネージメントが向いてるなと、やっぱり思っているので、そういう人材目指しつつ、勉強もしていきたいです。
以上
リアルの価値
リモートワークが当たり前の世界になり、リアルのコミュニケーションの価値が変わってきているように感じます。
今まではリモートワークの需要はあっても供給が追いついていませんでした。インフラの整備やルール面もしかり。
それが強制的にリモートワークへ移行したことによって、強制的に供給されもはや需要を追い越してしまった。
逆にリアルの需要は減り、効率化の面では良い点が出てきていると思う。ただ、リアルの供給は大幅に落ち込み、需要の減少よりも更に低い水準になってしまっていないでしょうか(もはや0に限りなく近くなった)。
最近、徐々にリアルが供給されるようになったとはいえ、その供給量が適切なのか?を改めて考える必要がある気がします。
労働者は「リアルの需要はない」と思い始めており、リモートワークへの完全移行をしたいという話もよく聞きます。
一方、経営者は需要の落ち込みをコントロールする必要がある。
経営者の視点でリアルの需要が本当にないのかを改めて考え、仮に必要であるならば、需要を生み出す策を考え、リアルの場を供給していく必要があるでしょう。
ちなみに、個人としては、現状ではやはりリアルは一定量供給させるべきじゃないかと思います。例えば、人とすれ違ったときにふと思いつくアイデアやその場その場のディスカッションにはリモートにない価値があるのでは、とおもうからです。
ただ、あくまでそれは現状の働き方ををベースとしており、すべてリモートでもそういったインスピレーションを養う場があれば事足りる話なのかもしれない。
というか、ちょっと前に超久しぶりに友人と対面で飲みましたが、やっぱ人とリアルで話すのはすげー楽しいし、あったほうがいいと思ったのでした。
以上。
やりたい事とやるべき事とやれる事
- やらないとなーと思う事と、やりたいなーと思うことがごちゃ混ぜになっている
- 今の仕事の延長が自分のやりたいことなのかがわからなくなっている
- あと、自分が何ができないか、苦手かが分かってきたのもあり、できることだけ頑張ろうとしている
- 改めて自分の強みとか今後を考える必要があると思った
キツイ仕事とは何か
- 仕事量が単純に多いのはキツイ
- 人が合わない、うまく回らないのもキツイ
- どちらも仕事の時間が長くなるけど、後者はマジでキツイ
- 合わないというのは、パワハラ的に仕事を振り回すのも含む。
- それは発注者と受注者という関係もある
- そもそも期待値コントロールを誤ると酷い目を見る。ただし、コントロールできないこともある。
- そもそも期待値は変わる
- というか、謝るのに疲れたけど本当に俺は悪いことをしたのだろうか
- パワハラは良くないと思う
- というか、指示する側が何やって欲しいのかわかっていないという状況がある
- わかっているならやって欲しいことを指示すれば良い
- なにがしたい、なにをしてほしい、を汲み取りたいけど、相手が伝えられないので、こちらも動けない
- てか、キツイ
- メンタルか弱っていくのが自分でもわかる状態というのはまだ健全なんだろうか。
- ほんと休みたい
脆弱性とマイニング
完全に金稼ぐ為にやってますね。 https://t.co/6D7ZWELe58
— しみずいこ (@mizuiko07) 2018年1月16日
マイニングのために脆弱性利用するのが流行っている。MIRAIとかもそのうちマイニング用にカスタマイズされて出てきそう。
IoT機器は要注意。
リクルートのレッドチーム
リクルートのレッドチーム https://t.co/OX9YJL1hjI
— しみずいこ (@mizuiko07) 2018年1月16日
すげー。。。
自組織でやろうと思うこと自体がすごい。
多少セキュリティの仕事してるけどやっぱり上部だけではダメですな。。。ガチンコでやらないと。
2018セキュリティトレンド予測
DMARCちゃんと調べとこう https://t.co/Xrj7xLWVSS
— しみずいこ (@mizuiko07) 2018年1月9日
あえて言おう、もはやサイバー犯罪であると。
犯罪なので、確かに漏洩させた企業の管理責任はあるものの、明らかに犯罪者が悪いです。