採用面接で「セキュリティの専門知識」を問われたら“あの用語”を語るべし：セキュリティ採用面接での質問と回答例【第6回】

セキュリティ分野の採用面接ではさまざまな質問が投げ掛けられるが、結局は高い専門性が採用決定の重要な決め手になる。どうすれば、自分の専門性を伝えることができるのか。

[Steve Zurier，TechTarget]

　セキュリティ分野の採用面接で自分の強みや動機をうまくアピールできても、高い専門性を証明できなければ、あまり意味がない。短時間の回答で「専門性」を示すのは簡単ではないが、実は“あるこつ”がある。本稿はセキュリティ分野の採用面接でよく聞かれる「10個の質問」とその「回答例」のうち、10個目として自分が専門性を有していることをうまく伝えるための方法を紹介する。

「セキュリティの専門知識」を伝えるための“あの用語”とは

併せて読みたいお薦め記事

連載：セキュリティ採用面接での質問と回答例

• 第1回：「年収が上がる」はNG？　セキュリティ採用面接で“言ってはいけないこと”とは
• 第2回：セキュリティ分野で働きたい理由は？――面接官に響く“理想の回答”はこれだ
• 第3回：採用面接の質問「あなたの強みは」にセキュリティエンジニアならどう答える？
• 第4回：セキュリティの採用面接で「自宅のネット環境」を問われたら何を説明すべき？
• 第5回：「理想のセキュリティ部門とは」――CIOならどう答えるのが“正解”か

「セキュリティ」キャリアづくりのこつ

• 有能なセキュリティエンジニアとしてキャリアアップできる「認定資格」はこれだ
• クラウドセキュリティのキャリアアップに役立つ「認定資格」はどれだ？

10．「セキュリティの専門知識を示せますか」

　採用面接の限られた時間で詳細な説明はできなくても、幾つかの用語をタイミングよく説明の中に入れることで、専門知識を持っていることを示せる。セキュリティ分野の初級者であれば、例えば以下の説明がよい。

• 脆弱（ぜいじゃく）性とエクスプロイト（攻撃）の違いについて
  • 脆弱性とは、ソフトウェアのソースコードに潜む弱点や欠陥を指す。悪用されれば、攻撃を受けるリスクがある。脆弱性はソフトウェアに限らず、ハードウェアにも存在する。セキュリティ担当者は常に脆弱性情報を収集し、パッチ（修正プログラム）を適用する必要がある。
  • エクスプロイトとは、攻撃者が脆弱性を悪用して標的システムに侵入することを指す。エクスプロイトを防ぐには脆弱性管理はもちろん、各種セキュリティツールの利用も有効だ。

　応募者は上記の説明に加え、どのような方法で脆弱性情報を収集できるかも説明することで、面接官に好印象を与えることができる。例えば、脆弱性識別子「CVE」（Common Vulnerabilities and Exposures）のWebサイトで脆弱性情報を集めることができる。CVEは米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が管理している。

　データの暗号化についての知識をアピールすることも有効だ。暗号化のためにどのような技術があるかや、その基本的な仕組みについて説明できると、高い専門性を示せる。暗号化技術としては、以下がある。

• SSL（Secure Sockets Layer）
  • インターネットの通信を暗号化する通信プロトコル
• HTTPS（Hypertext Transfer Protocol Secure）
  • WebサーバとWebブラウザの間で情報をやりとりするための「HTTP」（Hypertext Transfer Protocol）をSSLによって暗号化する方法

　ランサムウェア（身代金要求型マルウェア）攻撃についての基本を理解することも大切だ。ランサムウェア攻撃では、標的システムのファイルやデータベースが暗号化され、システムが使えなくなる。復号のために、攻撃者は身代金を要求する。もし標的組織が身代金を支払わなかったら、盗まれたデータが公開されたり、ダークWeb（通常の手段ではアクセスできないWebサイト群）で販売されたりする恐れがある。

　最近では、攻撃者がシステムを暗号化せず、「データを公開する」と脅迫する手口も広がりつつある。米連邦捜査局（FBI）などは、ランサムウェアを受けても身代金を支払わないようアドバイスしている。理由は、身代金を支払ってもシステムが完全に復旧する保証がないことや、身代金の支払いがさらなるランサムウェア攻撃を招きかねないといったことだ。応募者はこうした知識をインプットし、もし「身代金は支払うべきか」と聞かれたらそのリスクも説明するとよい。

　他にも採用面接に備えて知っておきたい脅威は多数ある。例えば、以下が挙げられる。

• スパイウェア（監視用ソフトウェア）やトロイの木馬など、ランサムウェア以外のマルウェア
• DDoS（分散型サービス拒否）攻撃
  • 大量の通信を送り付け、サーバやWebサイトの速度低下やクラッシュ（停止）を引き起こす
• フィッシング攻撃
  • 標的をだましてパスワードといった機密情報を盗み出す
• クロスサイトスクリプティング（XSS）攻撃
  • 正規のWebサイトに不正コードを注入して悪意のあるスクリプトを実行する

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。