IT未経験からホワイトハッカーへ｜異業種出身の私が歩んだリアルなキャリアパス

本記事ではIT未経験からホワイトハッカーになった筆者の私が歩んだリアルなキャリアパスの実体験をお伝えします。読者として想定しているのは、企業の情報システム部門に従事されている方や、セキュリティ領域に関心を持つエンジニア、またはこれからその道を目指そうとしている方です。単なる体験談にとどまらず、読者の皆様のヒントや気づきとなるような視点で構成しました。

私がプログラミングに初めて触れたのは2018年頃。もともと英語講師・通訳という教育分野に携わっており、ITとは無縁の環境にいました。当時担当していたのは、20〜30人規模の帰国生向け英語クラスでした。毎回授業のたびに提出されるエッセイを1人あたり5分かけて添削していましたが、授業準備と並行するには限界を感じていました。

そのような時に、ふと「もしエッセイを入力するだけで、添削のポイントを提示してくれるアプリが作れたらいいな」と思い始めました。当時は今のような生成AIも一般的でなく、自分で作るしかないと考えました。

しかし当時の私はプログラミング経験はほとんどなく、学生時代に触れたHTMLやCSSを頼りに「Progate」や「ドットインストール」でPythonやJavaScript、Rubyなどを学び始めました。気づけばProgateのレベルは半年で229、ドットインストールの有料アカウントを複数持ち込み、質問を重ねながら独学を続けました。

結果として添削アプリは完成しませんでしたが、この時の学びが、IT分野への関心と今後の土台を築くきっかけとなりました。

IT業界に本格的に挑戦しようと決意したのは、27歳のときでした。といっても、当初から明確なキャリアビジョンがあったわけではなく「まずは仕事が見つけやすそうな分野」という現実的な理由からインフラエンジニアを目指すことにしました。

ある無料説明会で「制作系よりインフラ系のほうが習得も早く、成長しやすい」と聞いたことがきっかけです。もちろん営業的な話も含まれていたと思いますが、実際に自分でコードを書くよりもネットワークやサーバーを触っているほうが楽しいと感じたこともあり、インフラ分野に興味を持ちました。

しかし現実は甘くなく、未経験での転職は困難を極めました。知識は独学で積んでいたものの、それを裏付ける資格や実務経験がないため書類選考すら通らない日々が続きました。「このままでは前に進めない」と感じ、環境を変えるためサイバーセキュリティ専門のコースを提供しているスクールへの入塾を決意しました。

その塾では、Windows やLinuxの基礎からネットワーク、認証、暗号化、ペネトレーションテスト、フォレンジックまで幅広く学ぶことができました。最初は理解に苦しみ戸惑いの連続でしたが、講師や仲間の支えが大きな助けとなりました。ちょうどコロナ禍で在宅学習に集中できたのも結果的に追い風となりました。

半年ほど学び、まずはネットワークの基礎理解を証明する「CCNA」資格を取得しました。このとき初めて自分の中で「ようやくITの世界のスタートラインに立てた」と実感できました。試験では参考書通りに出題されることはほとんどなく「基礎知識をどれだけ応用できるか」が試されている印象を強く持ちました。

CCNA取得後、以前と比べて転職活動が明らかにスムーズになったと実感しました。その結果、IT業界での最初のキャリアとしてプリセールス職に就くことができ、ここが私のITキャリアの本格的なスタートとなりました。

この職場では、ネットワークやLinuxの知識を活かしながらお客様に対してセキュリティ製品の提案や導入支援を行う業務に携わりました。さらに海外のセキュリティベンダーと英語でやり取りしたり、新しく社内で取り扱う海外製品の情報を英語で収集したりする機会も多く、それまでの語学力と新たに身につけたITスキルが初めて実務の中で交差した瞬間でした。

また、お客様先に同行してトラブル対応やバージョンアップ作業など、より技術寄りの業務にも携わることができました。特に先輩エンジニアと一緒に現場に入る機会が多く、実務の進め方や考え方など数多くのことを学びました。

こうした経験を通じて、次第にセキュリティへの興味が深まり「やると決めたらとことんやりたい」という自分の性格もあり、同年に再び以前通っていた専門塾でホワイトハッカー養成コースを受講することにしました。

このコースでは、ネットワークやWebサービスの脆弱性の仕組みやその見つけ方など、より実践的なセキュリティスキルを身につけることができました。そして学校に通いながら「より大規模なIT体制やセキュリティ管理の実務を知る必要がある」と感じ新たな職場への転職を決意しました。

次に勤めたのは従業員数が約1,000名規模の企業でした。その情報システム部門で、特にセキュリティ寄りの役割を任されることになりました。具体的にはアンチマルウェア製品の導入からセキュリティ統制の整備、社内向けの教育活動まで、幅広い業務を担当しました。

また年に1回実施されるISMSやPマークの認証取得審査にも関わるようになり、それに合わせて社内セキュリティ教育の講師として毎月教材を作成し、社員教育も行いました。

一方でこの情シス時代にはじめて直面した「難しさ」や「悩み」もあります。それは「情報システムは守られていて当たり前」「可用性に影響が出ればすぐに非難される」といったプレッシャーが常につきまとうということです。堅牢なセキュリティを実現しようとすれば、当然ながらある程度の制限やルールが必要になります。

しかし、それらはときに業務効率を阻害する要因となり、「守りすぎて現場の足を引っ張っている」と受け取られることもあります。今思えば、これは非常に大切な「バランス感覚」の問題だったのですが、当時の私はセキュリティの経験も浅く、「セキュリティこそ正義だ」という偏った正義感を持っていました。そのため、周囲の意見に素直に耳を傾けられない場面もあったことを思い出します。

前述のとおり、社内情シスとして一定のセキュリティ知識を身につけた頃、一つの悩みが生まれました。それは「自分の説明に説得力がない」というものでした。社内教育や営業部門との会話のなかで、「攻撃者はこういったすき間を突いてきます」「このような情報の窃取も行われます」と話す機会が増えましたが、その内容がどうしても表面的な知識の寄せ集めになってしまっていたのです。

なぜその攻撃が成立するのか、どうやって侵入されるのか、自分自身が深く理解できていない。そんな状態で話しても、自分の言葉に自信が持てず、受け手にも響かない、そう気づいた私は「一度、攻撃者の視点に立ってみよう」と思い立ち、ホワイトハッカー（ペネトレーションテスター）としての実務に飛び込むことを決意しました。

以降は、ペネトレーションテスター・脆弱性診断士として勤務するようになり、現場での経験を重ねていきました。職種が変われば視点も変わり、毎日が学びと気づきの連続でした。

それまでHack The Box（HTB）などで演習を重ねていたこともあり、業務への適応は比較的スムーズでしたが、この仕事の「属人性」の高さは実感しました。ペネトレーションテストには基本的な流れやガイドラインはあるものの、最終的には「どこに目をつけるか」「どこを疑うか」といった診断者の思考と経験がものをいいます。

当然、毎回脆弱性が見つかるとは限りませんが、「必ず何かを見つけてやる」という気概がモチベーションにつながり、挑戦する日々はとても刺激的でした。

さらに驚いたのは、周囲のエンジニアたちの学習意欲の高さでした。ペネトレーションテストは高度な技術を必要とする分野であるため、皆が業務外でも手を動かし学び続けていました。特に学生の頃からずっとハッキングやセキュリティに没頭してきたような人たちと出会い、「上には上がいる」と身をもって実感しました。

私自身も会社の資格支援制度を活用して、個人では手が出しにくいSANSの講座（約100万円相当）と試験に挑戦。Webアプリケーション診断に特化した「GWAPT」資格の取得や、マルウェアの解析や合法的な再現実験も仮想環境内で行うようになり、得られた知見をチーム内や外部の会議で共有する機会も増えました。

こうした再現実験は、以下のような原則を守って行われます。

これまでの経験を通じて、私は現在「技術力」「情報収集力」「発信力」「外国語力」の4つを軸にエヴァンジェリストという立場で活動しています。今後はレッドチーム^※1 だけでなく、ブルーチーム^※2 視点での発信や追及も積極的に行っていきたいと考えています。

以下にて、これからITやセキュリティの分野でキャリアを築こうとしている方に向けて、私なりのアドバイスをお伝えします。

^{※1：組織のセキュリティ体制を評価するために、攻撃者の視点に立って疑似攻撃を行う専門チームを指します。}

^{※2：サイバーセキュリティの分野で、組織の情報システムやネットワークを保護する役割を担う専門チームを指します。}

当たり前に聞こえるかもしれませんが、IT業界では受け身の知識には限界があります。もちろん業務の中でも多くを学べますが、セキュリティ分野は特に自主的な学習が求められる領域です。外部セミナーや勉強会、資格取得の過程などを通じて、習慣的に学び続ける姿勢が大切です。そうすることで自分が本当に興味を持てるテーマや次に挑戦したい目標が見えてきます。

セキュリティの最新情報は、英語圏から発信されることが非常に多く日本語ではカバーしきれない内容も少なくありません。たとえば、AWS や Azure、GCP といったクラウドの攻撃手法やEDRの回避技術などの情報は、海外のカンファレンスやセミナー（Black Hat、DEF CONなど）で先行して共有される傾向があります。

最近では「英語不要論」も耳にしますが、インドやイスラエルのような技術先進国のセミナー情報をキャッチするには、最低限リスニングのスキルは必要です。また、海外の顧客やパートナーと関わったり、海外進出の可能性も見据えれば、英語やその他の言語に日頃から触れておくことが大きな財産になります。

知識を得たら実際に自分の手で試してみることが何より大切です。Progateやドットインストール、Udemyなど、学習に役立つ教材やサービスは豊富にあります。

ポイントは、「1周目は手順どおりに動かしてみる」「2周目は少しアレンジしてみる」ことです。例えば、SSL証明書の購入手順が決まっているカリキュラムでも、あえて違うサイトを使ってみることで、新たな発見やトラブル対応力が身につきます。

現場ではマニュアル通りにいかないことの方が多いものです。だからこそ「失敗する経験」を通して学ぶ姿勢が、エンジニアとしての成長を加速させます。

私はキャリアを大きく方向転換してこの業界に飛び込んだ身なので、正直なところ今でもサイバーセキュリティのキャッチアップだけで手一杯です。今までは外国語に加えてIT分野を深掘りして生きてきたため、それだけでも十分にチャレンジングな道のりでした。

だからこそ自分の強みをしっかり理解し、それを軸に戦っていくという考え方を大切にしています。すべてに精通しようとするのではなく、「何でもそつなくこなせる」人でなくてもよいと、割り切って考えられるようになりました。

ましてや、外国語＋ITに加えて、マーケティングや営業の知識まで求められる「マルチスキル型」にはとてもなれそうにありません。最終的には、ジェネラリストを目指すのか、スペシャリストを極めるのか。そのあたりは人それぞれの志向によるものですが、エンジニアとしてキャリアを築く上では「これなら任せて」と言える何か一つ尖ったスキルを持つというのも大きな強みになるでしょう。