Hardening参加したもろもろを

Hardeningに参加しました。

といっても、もうかれこれ2ヶ月前のお話。
取り合えずHardeningの全日程は終わり、さらに有志による振り返り会なんかも終わりました。
ただそこから自分の中での振り返りがうまく出来ていない状態が続いていましたが、そろそろ散文でも書き連ねて置こうと思った次第でございます。

開催概要/募集要項 – Hardening 2023 Generatives | Hardening Project

井の中の蛙が大海を知った。

とりあえず今回の参加理由としては「会社としてセキュリティという分野でビジネスしたいので、もろもろのリサーチを兼ねて行ってこい」くらいの使命を帯びておりました。
その程度の使命だったので、ふんわりとした感じで参加しており、まあ数回のチームミーティングで「これは生半可な感じではダメだな」と心折れかけておりました。

セキュリティに関してもそうですが、いかんせん小さな会社でふんわりと個人で作業している事が多いもので、それがチームとなるとまた受ける刺激は違います。またチームメンバーはそれぞれ思うことがあり参加しているわけですからね。そういうのを考えると心折れているだけではどうしようもないぞと。
そこで私が考えたのは「まあとりあえずできることは最初に手を上げてやろう」ということでした。

なんとなくこういうチーム戦というのは、誰かが舵取りしないといけないというのもありますが、何にしろまずは誰が動くのか様子を見てしまいがちな気がします。
そこで様子見せずにサクッと動いてしまおうと思った次第です。これなら井の中の蛙でもそれほど技術がなくてもいけます、たぶん。

チーム紹介の動画を作れという課題が出たらサクッと動画を作って共有してみたり、チームのロゴを作ったらとどうかという話になったらサクッとロゴをでっちあげたり。
そういうことで、ただただ年の功という経験のみでどうにかこうにかチームに貢献しようと頑張ってみた次第。
果たしてそれがチーム内でどういう評価を受けていたのかは怖くて聞けないので聞いておりません、いや軽く聞いたけど本人を目の前にそんなに言えないっすよね。

本題のセキュリティとかについてはどうだったのか

この辺に関しては、技術力不足であまり語ることがありませんが、一つ言えるのは「セキュリティといっても技術は縁の下の力持ちである」ということですかね。
ネットワークだサーバだっていう部分は、あまり日の目をみないところではあるんですが、セキュリティに関してもそうだぞというのを再認識というか痛感しました。

結局のところ、何か問題があった場合にどうするのかっていうのはエンジニアが考えるのは「とりあえず動くようにする」「原因を探る」とかになるんですが、そこってエンジニアが考えるというよりも会社として事業を継続するためにどうするのかという柱が必要なんですよね。そこをしっかり考えるべきだというのを再認識しました。

当たり前といえば当たり前なんですが、その当たり前を再認識しつつ、エンジニアとしてあまりにとっちらかったことをしてキャリアもとっちらかっているなという認識をした次第です。
これからは襟を適度に正して、ある程度時間を作って勉強していくというのが必要だというのは実感しております。

まずはということで、セキュリティ関連の書籍を買い漁って読んでいます。まあ読むだけじゃなくて実践していかないといけないなと思っております。

買った本を羅列しておきますと。

CISOハンドブック ――業務執行のための情報セキュリティ
ペネトレーションテストの教科書 (ハッカーの技術書)
実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

まだまだ読み切れていませんが、この辺を勉強していかないとなというのと、そもそも基礎的なネットワークについての技術を復習して習得するとか、そういうのも必要だなと思っております。
なにかしら自宅環境を整えたらまたここに記載していければなーと思っております。