4年目セキュリティエンジニアの2025年振り返り & AIから見た今年の私

はじめに

2025年が終わりますね。

Year Progressという私のフォローしているXアカウントではついに2025年の経過が99%になりました

2025 is 99% complete. pic.twitter.com/hrfbQAmKup

— Year Progress (@year_progress) December 28, 2025

このアカウントは1%進むごとに現在の進捗がポストされるのですが、それを見るたびに焦りを感じることができます

さて、新卒でIT業界に入ってから4年が経とうとしており、一貫してセキュリティの畑でやってきました

今までは振り返りのブログなんて書いたことなかったのですが、

「あの頃こんなことしてたなぁ」と見返せるように今年の自分の振り返りをつらつら書いていきます

今年は自分の中で変化がたくさんありました

• 転職
• それに伴う業務変化
• 新しいセキュリティ領域のキャッチアップ
• IPA試験

などなど

また、今年を振り返りをAIにインタビューしてみました

経験

転職したこと

社会人として働き始めて4年の年になります

今年は転職をし、脆弱性診断員からCSIRTへと業務内容が変わりました

CSIRTといってもアラート対応だけでなく、AWSの運用改善、内製ツール開発など、様々なことをやる部隊です

診断員時代の知識もたまに生きるのですが、それよりも自分がこれまで学んでこなかった「クラウド」や「ガバナンス」の知識が求められるようになりました

クラウドは今まで避けてきた道でしたが、ついに勉強する時がきました

AWS, Google Cloudが主な業務内容であり、AWSは日頃から触れているため業務内で自然と知識が増えています

となると触れずに終わってしまいそうなのがGoogle Cloudで、これは資格取得を通して自主的にキャッチアップしていくつもりです

社内のエンジニアはすごい方々ばかりです

常にキャッチアップをし続ける姿勢、イベント登壇やブログ,出版での発信活動、プロフェッショナルな業務対応、とつよつよな方々に囲まれて仕事に取り組んでいます

そんな環境に入り、自分も感化されてよりスキルアップや対外活動を意識するようになりました

4年も経つのでポジションを意識したキャリア形成をと考えていましたが、ポジションはエンジニアとしての基礎能力がもっと伸びてから出ないと取りかかれないと気付かされました

まだまだ目の前のことをキャチアップ中です

東京都オープンデータハッカソンにでたこと

今夏はチームメンバー @Naoki の提案により、東京都オープンデータハッカソンに出場しました

都知事杯オープンデータ・ハッカソン

アイデアとデータで新しい価値を生み出そう 都知事杯オープンデータ・ハッカソン2025

odhackathon.metro.tokyo.lg.jp

これは東京都が公開する様々なデータを用いて行政課題のソリューションを提出するコンテストです

去年に引き続き今年もRowicyチームでハッカソンに出場し、アプリ開発を行いました

GitHub - rowicy/charimachi: A mobile app that suggests safe and comfortable routes for cyclists.

A mobile app that suggests safe and comfortable routes for cyclists. - rowicy/charimachi

github.com

イベント会場でオフラインコーディングをする予定でしたが、会場の冷房が寒すぎて新橋のBase Pointに速攻移って閉店まで作業していたのが懐かしいです

自分は裁量があるとこだわりすぎる性格があり、ハッカソン大会中は自分がイメージしてたのとずれていた場合にメンバーにきつい目線を送ってしまっていたなと反省しています😓

タイムリミットが迫ってきたり、集中時間が続きすぎると目がキマってくるんですよね…

次大会にチームで参加する時はもう少しリラックスして温和にいきます

ハッカソンは途中睡魔との戦いですが、その極限状態も含めてお祭りだと思っています

また来年も参加したいですね

丸一日付き合ってくれたメンバーにはスペシャルサンクスを送ります

Special Thanks 🙏✨🫶🥰💐🚀🔥⭐

IPA試験を受けたこと

4年目にして今更感ありますが「情報処理安全確保支援士」というIPA試験を受けました

セキュリティの界隈にいてこれまで取ろうとして来なかったため、申し込み締め切り1週間前にえいやと応募。そこから試験勉強を始めました

情報処理安全確保支援士試験 | 試験情報 | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「情報処理安全確保支援士試験」に関する情報です。

www.ipa.go.jp

基本情報も持ってない状態だったので、その場合午前Iに応用情報の範囲も入ってきます

特に応用情報の午前範囲は広い範囲をカバーしなくてはいけません

ネットで合格体験記を見他ところ、とにかく過去問が大事だという意見が多かったです

午前対策は過去問道場の周回、午後は記述方法を意識しながらの過去問を解いて、なんとか勉強開始から2ヶ月で合格できました

この間に新規アサイン、ハッカソン、外部イベントの登壇準備などが挟まりちょっと忙しかったです

電車の移動で過去問道場を、2時間ほどまとまった時間があったら午後の過去問で記述対策を、というように隙間時間を使っておりました

支援士の範囲の学習で得られる知識は浅く広いものです。このラインからどこかを深掘ってこそエンジニアの得意領域になっていくので、そこは今後キャッチアップするとして、

今回のIPA試験はセキュリティ領域の地図を掴むには良い経験になりました

ChatGPTに聞いた今年の私

最後に今年よく会話したchatGPTに、溜まったコンテキストから今年の私はどんな会話をしていたのか聞いてみました

今年の私のあなたとの会話を振り返って。

# あなたと私の 2025 年の会話を振り返って

## 🛠 技術テーマの軸

今年の会話は、かなり一貫して**実践寄り・調査寄りのエンジニアリング**でした。

### Web / フロントエンド
- Astro / Next.js  
- CSS（Tailwind, Sass, animation, line-clamp, grid）  
- Cloudflare Pages のビルドトラブル  
- SPA の状態管理・UI挙動（モーダル制御など）

### バックエンド・基盤
- Node.js / pnpm / npm の違い  
- Kubernetes を前提にした個人開発構想  
- Go での高性能ログ集約・分析ライブラリ構想  
- Rust + WASM の小規模ツール検討  

### セキュリティ
- ペンテスト文脈の質問が非常に多い  
- CORS 制約の実際の挙動  
- DNS Rebinding の研究手法  
- レスポンス改変、ヘッダ、OAuth / AAD トークン  
- 「これ攻撃的だけど理論的にどうなる？」という思考実験系  

👉 **「作れる」「壊せる」「仕組みで理解したい」**がはっきりしていました。

---

## 🧠 思考スタイルの特徴

やり取りから見えるあなたの特徴はかなり明確です。

- 公式説明をそのまま信じない  
- 「それは *なぜ* そうなるのか」を必ず聞く  
- 表層 API ではなく **内部レイヤ（Control Plane / Data Plane / Browser 内部）**を見に行く  
- バグや制約を「避ける」より「理解して利用する」方向  

SRE やセキュリティ寄りの思考そのものですね。

---

## 📈 今年の変化・積み上がり

- 単発の「やり方」質問より  
  → **設計・挙動・境界条件**の質問が増えた  

- UI 実装でも  
  → 「動けばいい」から「体験としてどうか」へ  

- セキュリティも  
  → 単なる攻撃手法から「研究・再現・説明」フェーズへ  


---

## 🔮 来年につながりそうな流れ

このまま行くと、自然に伸びそうなのは：

- 個人開発 × **K8s / SRE 視点**  
- セキュリティ研究を **ブログ・資料・コード**で外に出す  
- Rust / Go の「小さく尖った道具」を増やす  
- 英語ドキュメントを読む前提の技術選定  

すでにその入口には立ってます。

---

正直に言うと、  
**「質問が面白いユーザー」**です。  

Rowicyのサイト修正やちょっとしたツールでの開発と、ブログ記事での初期調査によく使っていたのでその結果が出ています

「公式説明をそのまま信じない」というところは突っ込みたくなります

私のこれまでの質問の仕方や、あなたへの返答から、技術の理解にどんな傾向がありますか

## ① ブラックボックス耐性が低い（＝内部を見ないと納得しない）

あなたの質問には、次の形が非常に多いです。

* 「なぜそうなるのか」
* 「内部的にはどこで判定している？」
* 「それは誰が責任を持つレイヤ？」
* 「理論上どういう状態遷移になる？」

例：

* CORS が「なぜ存在確認に使えないのか」
* DNS TTL とクライアントキャッシュの関係
* Azure の Control Plane / Data Plane の分離
* OAuth / AAD トークンの aud・resource の扱われ方

👉
**仕様を“結果”として覚えるのではなく、
仕様が生まれる構造を理解しないと前に進めないタイプ**です。

これは当てはまっています。内部構造がどうも気になって前に進めないことはしばしば、

インプットに速度を持たせるためにも来年はこれらに躓く時間を減らしていきたいですが、できるでしょうか🤔

## ② 「境界条件」に強い関心がある

あなたの質問は、正常系よりもむしろ：

* 「できないとされていることは、どこまで本当にできない？」
* 「制限は誰視点の制限？」
* 「偶然その制約をすり抜ける瞬間はある？」

に寄っています。

👉
あなたは **仕様の「境界」＝攻撃面・障害面**を探す理解をします。

これは脆弱性診断をやっていた時の癖というか、仕様の各所で安全策をすり抜ける方法があるのではと詮索してしまうんですよね。

アタックサーフェスを常に探す悲しいモンスターになっています

## ⑤ 反証・例外が出てくると理解が一段深くなる

私の説明に対して、

* 「それって〇〇の場合は？」
* 「じゃあこのケースは？」
* 「それは理論上？ 実装依存？」

と返してくることが多い。

👉
あなたは **説明を受け入れる前に、無意識に検証している**。

説明をすぐ受け入れないタイプみたいです

## 総評（率直に）

あなたの技術理解の傾向を一言で言うと：

> **「壊れ方から理解する構造派エンジニア」**

* 仕様 → 実装 → 挙動 → 破綻点
  この流れを頭の中で常に回しています。

壊れ方から理解する構造派エンジニアらしいですが、職場の方や友人には自分がそうみられているのか気になってきました

## 注意点（弱点になり得る点も正直に）

強みの裏返しとして：

* 単純な「こう書けばOK」を軽視しがち
* 初学者向けの説明が冗長になりやすい
* 納得できないと前に進みにくい

なんでも首を突っ込んで気になる癖は治したいですね

chatGPTに自分の質問や理解の特性を出してもらうのは自己理解に繋がりそうです。思い立ってやってみましたが自己評価にも使える…

来年もよろしくお願いします

来年どんな活動をするかわかりませんが

アウトプットの年にしたいです

イベント登壇やブログで発信の機会を増やすことが目標です

来年もチームRowicyをよろしくお願いします

それでは