セキュリティエンジニアの面接質問

公開されました。 最終更新日
セキュリティエンジニア:ソフトウェアエンジニアの面接の質問

セキュリティが今ほど重要視されていることはありません。社会として、私たちはより多くの機密性の高い重要な情報を、自分でコントロールできない領域に置くことに慣れてきました。それに加えて、以前は自社のシステムでホストしていたアプリケーションの多くがクラウドでホストされるようになり、共同で仕事をするようになりました。これらの新しいトレンドは多くの可能性を生み出していますが、システムの複雑化、データの機密性の高まり、ネットワークへのアクセスの拡大により、専任のセキュリティ・エンジニアの役割はほとんどの企業にとって不可欠なものとなっています。

セキュリティ・エンジニアは、単にセキュリティを見るために他の機能から引き抜かれた標準的なソフトウェア・エンジニアや開発者ではありません。最良の候補者は、独自のスキルセットとアプローチを持っており、この目的に独自に適しています。セキュリティエンジニアは、使用する他の技術とは別に専用の画面を必要とします。 セキュリティエンジニアが知っておくべきことと、それを知っているかどうかを正確に知るために、読み進めてください。

このガイドでは、あなたが見つけることができます。

セキュリティエンジニアとは?- プロダクト・セキュリティ・エンジニアのインタビュー記事1.セキュリティエンジニアとは?

かつては、エンジニアや開発者が担当するシステムのセキュリティを担当していました。おそらく、80年代前半のある時期に、1つか2つの企業がセキュリティに特化した人材を採用し始めましたが、セキュリティエンジニアの役割は2000年代前半になってから本格的に普及し始めました。

1.1 セキュリティエンジニアは何を担当しているのか?

セキュリティエンジニアの第一の目標は、サイバー攻撃から企業を守ることです。とりわけ、安全でない手順を修正し、ソフトウェアやハードウェアの更新ポリシーを適用し、さまざまなシステムやデータへのアクセス制御を設計します。

セキュリティエンジニアは、システムに対する脅威について常に考えています。これは、あらゆる潜在的なセキュリティ脅威を定義し、列挙し、モデル化する責任があることを意味します。また、コンピュータシステムやネットワークのセキュリティ要件を認識する責任もあります。では、どのようにしてこれを行うのでしょうか?

1.2 セキュリティエンジニアの仕事内容は?

エンジニアリングソリューションは、この仕事の大きな部分を占めています。また、セキュリティエンジニアは、セキュリティポリシーを実装し、実施する役割も担っています。ポリシーを導入した後は、緩和策、対策、その他のセキュリティインフラストラクチャを監視、維持、適用するのは彼ら次第です。また、インシデント対応のアクションやガイドラインを作成し、展開していくのも彼らの仕事です。

システムを保護することは確かに仕事の一部ですが、セキュリティ・エンジニアは、そのシステムが保管している資産の種類まで考えなければならないことがよくあります。企業のネットワークやITインフラストラクチャの保護に加えて、これらの場所に保管されている企業の知的財産の保護にも力を入れています。また、サイバー攻撃には物理的な要素が含まれていることが多いため、物理的なセキュリティにも対応しています。

1.3 なぜセキュリティエンジニアがいるのか?

セキュリティエンジニアまたはセキュリティエンジニアのチームは、ソフトウェア開発のこの重要な領域のオーナーシップを取ります。セキュリティの専門的な能力を開発することで、セキュリティエンジニアは通常の開発チームよりも優れた成果を上げることができます。これは主に、人気のあるソフトウェアに見られる脆弱性を含む新しい脅威に対応できるようになったからです。これらの脅威に対応することを彼らの仕事とすることで、これらの脅威が彼らに対して利用される前に会社を守ることができます。専任のセキュリティエンジニアやセキュリティチームを維持することで、あなたの会社は、セキュリティ違反の影響を緩和する代わりに、脅威に対する攻勢に出て、自分自身を守ることができます。

ITセキュリティの向上のメリットは、ほんの数年前では見つけることができなかったであろう、セキュリティに特化した専門家やチームを中堅から大企業で見つけることが増えてきていることを意味します。これらのチームには、セキュリティエンジニアに加えてペンテスターが含まれることが多い。ペンテスターは、セキュリティエンジニアの陽の陰である。セキュリティエンジニアがシステムの防御を構築し、ペンテスターがそれを突破する方法を見つけようとする間に、セキュリティエンジニアはシステムの防御を構築します。脆弱性を明らかにすることで、ペンテスターはセキュリティエンジニアがより強固な防御を構築するのを助けます。

優秀なセキュリティエンジニアは、その分野のスペシャリストです。とはいえ、セキュリティエンジニアになるための正式な要件はありません。ほとんどの人にとっては、コンピュータサイエンスの強い理解と人間心理の理解がミックスされたものです。

IT業界の採用担当者がセキュリティエンジニアについて知っておくべきことは何ですか?- プロダクト・セキュリティ・エンジニアの面接質問2.IT採用担当者が知っておくべきセキュリティの重要性とは?

パラダイムシフトするような出来事は、セキュリティの分野ではむしろ稀である。しかし、その事実は、自己満足を奨励すべきではありません。新しい攻撃、脆弱性、その他のセキュリティ問題が日常的に発生していることを認識するために、アンチウイルスにアップデートが来る頻度に注意を払うだけでいいのです。

時間の経過とともに、これらの攻撃は一定の方向に変化し、進化していく傾向があります。例えば、最近では、かつて人気のあった悪質なJavaアプレットよりも、XSS攻撃を見つけることの方が一般的です。しかし、採用担当者が理解しておかなければならないのは、セキュリティにはITトピックに関する非常に幅広い知識が必要であるということです。

セキュリティ・エンジニアは、システム管理、コンピュータ・ネットワーク、プログラミングを理解する必要があります。また、これらのコンポーネントがどのように連携して障壁を作り、弱点を修正するのかを理解する必要があります。全体的なシステムアプローチは、ネットワーク全体のセキュリティ問題に効率的に対処することができます。

3.セキュリティエンジニアはどのようなツールや技術に精通しているべきか?

多くの先進技術分野と同様に、セキュリティ・エンジニアが利用できるツールは数多くあります。これらには、フレームワーク、ライブラリ、およびセキュリティ侵害の追跡、防御、および推定される原因の特定に使用されるその他のツールが含まれます。

ツールに加えて、セキュリティエンジニアは、より多くのドメイン固有の問題を理解する必要があります。これには、ソーシャルエンジニアリング、フィッシング、バッファオーバーフロー、XSS、ゼロデイ、メタスプロイトなどが含まれます。また、管理ツールやファイアウォールの知識も必要です。 アンチウイルスソリューションまた、脅威のモデル化も必要となります。最後に、侵入検知システム/侵入防止システムまたはセキュリティ情報・イベント管理システムの理解が日常的に求められます。

3.1 セキュリティエンジニア候補者のお役立ち体験談

セキュリティ関連の問題に対処するためには、サーバー管理、フリート管理、ネットワーク管理、基本的なスクリプトプログラミングのスキルが重要です。候補者がセキュリティ問題に対処した経験があることを示す良い指標となります。商業的な経験以外では、セキュリティ関連のオープンソースプロジェクトへの貢献者であったり、CTFのゲームやセキュリティカンファレンスなどのセキュリティ関連のイベントに参加していたりすることは、セキュリティスキルに興味があることを示す強い指標となります。また、ペンテスティングやセキュリティ研究の経験があると助かります。

4.セキュリティエンジニアの履歴書を使った審査

候補者の履歴書は、候補者が何に精通しているかを知るための良い機会です。しかし、履歴書の真の価値は、面接の段階で質問をする際の指針となります。上記で述べた経験に加えて、候補者の履歴書に記載されている重要な技術にも注目することが重要です。その参考になるように、セキュリティに特化した用語集をまとめました。

技術系採用担当者のためのセキュリティエンジニア用語集 - 製品のセキュリティエンジニアの面接時の質問

4.1 技術系リクルートのセキュリティエンジニア用語集

APT (Advanced Persistent Threat) 攻撃者や攻撃者グループが長期間にわたってカバーされたままで、通常は高度な技術を用いて、「0日」と呼ばれる未知の脆弱性を悪用する長期的な攻撃。
任意コード実行 (ACE) リモートコード実行」を参照してください。
アンチウイルス 特にエンドノードのセキュリティ拡張に特化したソフトウェア。これは、シグネチャを使用した静的分析や行動分析を使用して、マルウェアや不要なソフトウェアを検出するために使用されます。
CCNAセキュリティ認証(シスコ認定ネットワークアソシエイトセキュリティ認証 シスコのセキュリティ指向の認定。
CIAトライアングル・トリアード・プリンシプル(情報機関と間違わないためにAICと呼ばれることもある CIAとは、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)の略。脅威のモデル化やコンピュータシステムのセキュリティ確保に役立つセキュリティの3つの重要な側面。
CISSP (Certified Information Systems Security Professional) 言わずと知れた、尊敬されるセキュリティ認証です。
CSRF(クロスサイトリクエストフォージェリ サイトがユーザー/ブラウザに対して持っている信頼を悪用する攻撃。攻撃者は、認証されたユーザーを騙して、準備されたリンクを送信するなどして、不随意にアクションを実行させようとします。
CVE (共通の脆弱性とエクスポージャ) MITRE株式会社が管理する、公知の脆弱性に対して一意のIDを提供するシステム。
DLP(データロス/リーク/漏洩防止) 重要なデータのセキュリティを確保するために使用される技術とツールのセット。DLPシステムでは、透過的な暗号化/復号化手法を使用して、重要で貴重なデータを含むトラフィックをフィルタリングし、暗号化されていない情報が組織のネットワークを離れることがないようにしています。
硬化 パッチを適用したり、追加モジュールをインストールしたり、不要な部分を削除したりすることで、アプリケー ションやコンピュータシステムのセキュリティを強化するために行われるステップ。硬化することで、攻撃の表面を減らし、場合によっては、ハッキングに成功した後に攻撃者が意味のある害を及ぼすことを防ぐことができます。
エイチエスティーエス HTTPSでの通信のセキュリティ基準を下げることから守るセキュリティ対策。
社会工学 機械ではなく人間をハッキングすること(例えば、秘書に、押し入って文書を盗むのではなく、文書をコピーすることになっていることを納得させる)。
IDS/IPS NIDS/HIDS(侵入検知システム/侵入防止システム ネットワーク侵入検知システム/ホスト侵入検知システム 侵入によって引き起こされる可能性のある悪意のある行動を検出、認識、および報告するためのツールを提供するシステム。また、IPSは、侵入を検知した後に侵入を軽減する機能を提供します。
侵入テスト システムやアプリケーションのセキュリティテストを行う認可されたプロセスで、実世界の攻撃をシミュレートすること。侵入テストは、テスト対象の実際のセキュリティに関する知識を提供します。侵入テストは、テスターが持っている知識に基づいて分けられます。ホワイトボックスは、攻撃者がターゲットに関する深い知識を持っている攻撃のタイプです。対照的に、ブラックボックスは、テスターがテスト対象のシステムに関する知識をほとんど持っていない、または全く持っていないシナリオです。
マルウェア/ランサムウェア マルウェアという用語は、悪意のあるソフトウェアの略で、設計上有害なプログラムを記述しています。マルウェアは、コンピュータウイルス、ルートキット、ワームのような複数のタイプの悪意のあるソフトウェアを説明する広い用語です。ランサムウェアは、ユーザーのデータをロックするマルウェアで、通常はデータを暗号化し、復号化のために身代金を要求します。
メタスプロイト Rapid7が開発・保守するソフトウェア。ペンテスターのスイスアーミーナイフとも言える。Metasploitは、既知のエクスプロイトのデータベースと、侵入テストを行うのに役立つ追加のソフトウェアと方法(例えば、アンチウイルス回避のために使用される)を提供します。
Nmap/ポートスキャン ポートスキャンとは、調査対象のホストにTCPパケットやUDPパケットを送信し、得られたレスポンスを解釈することで、どのネットワークポートが開いているかを判定する処理のことである。Nmapは、ポートスキャンを行うためのツールとして人気の高いポートスキャナである。
OSCE (Offensive Security Certified Expert) 浸透テストの認証。
OSCP (Offensive Security Certified Professional) 浸透テストの認証。
ピーピーケーディーエフ 暗号学では、KDF(key derivation function)とは、秘密入力に基づいて秘密鍵を生成する関数のことである。PBKDFはpassword-based key derivation functionの略で、ユーザのパスワードから秘密鍵を導出するために用いられる。
フィッシング ユーザーの資格情報や機密データの取得を目的とした攻撃タイプ。通常、何かの権威(セキュリティ関係者、チーフ、雇用主など)になりすましてメールを送り、信頼できるログインページを模したウェブサイトにユーザーをリダイレクトさせます。これは、似たような文字(大文字の i と小文字の L のような)やタイポスクワッティングなどで、URL ドメインが異なることで可能になります。技術的な脆弱性を悪用するだけでなく、ソーシャルエンジニアリングを利用した攻撃です。
レッドチーム セキュリティの専門家で構成されたグループで、組織のセキュリティシステムや手順を実世界のシナリオで検証する。レッドチームの評価では、サイバー攻撃だけでなく、建物への侵入や、組織のネットワークやコンピュータにシステムを危うくする可能性のあるデバイスを仕掛けるなどの物理的な攻撃も行われます。その結果、機密データを流出させることも考えられます。レッドチームは、企業のシステムを安全に保ち、インシデントを監視して対応し、侵害の影響を最小限に抑えることを仕事とする専門家であるブルーチームのトレーニングを支援するために雇われています。
RCE/ACE (リモートコード実行/任意コード実行) 攻撃者が対象システム上で任意のコードやコマンドを実行できる脆弱性の影響について説明します。RCEは、攻撃者がネットワークを介してリモートホスト上で任意のコードを実行できるようになった場合に発生します。
サンドボックス 信頼されていないソフトウェアが他のシステムに害を及ぼすことなく実行できる、安全で非特権的な隔離された環境の一種であることを示すために使用される用語。
SIEM(セキュリティ情報・イベント管理 組織のネットワーク内のソフトウェアおよびハードウェアソリューションによって生成されたアラートやイベントのリアルタイム分析をログ集計、監視、レポートするために使用される複雑なツール。
スパム 電子メールで送信された不要なメッセージや迷惑メール。
スピアフィッシング 一人の個人・組織などを狙った高度なフィッシング攻撃。通常、長時間にわたる徹底的な偵察が行われます。
SQLインジェクション(SQLi) アプリケーションのデータベースクエリを標的とした最も一般的な攻撃の一つです。これらの攻撃は、ユーザーが提供したデータの不適切なサニタイズ、エンコーディング、および処理によって引き起こされます。SQLi 攻撃は、データベース上で任意の SQL 文を実行し、その内容の漏洩や変更につながります。
SSTI (Server Side Template Injection) テンプレート内のユーザー投稿データをサーバーが利用した場合に発生するコードインジェクション技術。このタイプの攻撃は、サーバー側の任意のコード実行につながる可能性があります。
脅威のモデル化 これは、潜在的な脅威を認識し、識別し、優先順位をつけるプロセスです。例えば、攻撃者がコンピュータシステムを危険にさらすために悪用される可能性のある脆弱性を明らかにすることができます。脅威のモデル化は、貴重な資産を保護するための手順、ポリシー、およびアクションの設計と実装を支援し、攻撃を不利益なものにします。脅威のモデリングを容易にするために、VAST のような方法論が設計されました。
VAST(Visual Agile and Simple Threat modeling) 脅威のモデル化に用いられる手法。
脆弱性評価 ポートスキャンやサービスフィンガープリントなどの技術を用いて、既知の脅威(既知の脆弱性)をシステムから探索するプロセス。脆弱性評価では、結果を分析してシステムの弱点を特定し、攻撃のリスクや影響を最小限に抑えるための緩和策を提供します。
WAF(ウェブアプリケーションファイアウォール Webアプリケーションを強固にするために使用されるツール。WAFはユーザーの入力を検証し、悪意のあるリクエストを監視し、ブロックして報告する。
XSRF CSRFのもう一つの頭文字
XSS (クロスサイトスクリプティング)

攻撃者がクライアント側のスクリプト(一般的には JavaScript、場合によっては VBScript)を注入することを可能にする、通常はウェブアプリケーショ ンにおけるコンピュータセキュリティの脆弱性のクラス。ユーザーのブラウザでコードを実行することで、SOP (同じオリジンポリシー) のようなアクセス制御方法を迂回したり、認証データ (クッキー) を流出させてログに記録されたユーザーになりすましたり、ウェブサイトを動的に変更したりすることができます。

ゼクシィ 外部エンティティへの参照を適切に処理できない XML 処理アプリケーションを標的とした攻撃。通常、この種の脆弱性はデータの漏洩につながります。

4.2 相互に使用される最も一般的なセキュリティ工学名

  • CRSF <-> XSRF (用語集参照)

4.3 全く異なるバージョンのセキュリティトピック

  • SSTIは通常、XSSが先行しますが、サーバー側のコード実行につながります。これに対して、XSSはクライアント側のコードを実行することを目的としています。

4.4 候補者のコーディングスキルを評価するために、セキュリティ技術者の証明書はどの程度重要か?

証明書がすべてではありませんが、セキュリティエンジニアにとって尊敬されている注目すべき証明書がいくつかあります。これらの証明書は持っていると良いですが、必須ではありません。最も一般的に尊敬されているものは以下の通りです。

  • CISSP
  • オーエスシーピー
  • オーエスシーイー
  • CCNA [セキュリティ]

4.5 セキュリティエンジニアの履歴書のその他の注意点

  • 提出されたCVEのリストを持っていると良いでしょう(用語集参照)。

セキュリティエンジニアの面接で、電話やビデオの技術面接で聞かれる質問 - product security engineer interview questions5.電話/ビデオの技術面接で聞くセキュリティエンジニアの面接の質問

セキュリティエンジニアの履歴書は、セキュリティエンジニアの知識や経験を知る手がかりになりますが、候補者が実際に何を話せるのか、過去にどのように知識を応用してきたのかを試すことができることが重要です。

5.1 候補者の経験に関する質問

Q1: 侵害に対処したことがありますか?それはどのようにして起こったのでしょうか?どのようにして防ぐことができましたか?

Q1に聞くべき理由:候補者は、与えられた業界での経験を共有することができます。大規模な事故は日常茶飯事ではありませんが、小さな事故は日常茶飯事ですので、そのテーマについての考えや結論を持っていること。具体的な事例は重要な情報であり、詳細は秘密にされている可能性があるため、面接官が話すことが許されない場合もあります。

Q2: 企業におけるセキュリティエンジニアの役割についてのご意見をお聞かせください。

Q2を聞くべき理由 候補者は、組織におけるセキュリティエンジニアの責任を知っている必要があります。特定のタスクがこの機能の範囲外であったり、範囲内であったりすることがあることに注意してください。

Q3: BYOD(自分のデバイスを持ち込むこと)についてどう思いますか?

Q3を聞くべき理由 候補者がどのようなオーグメントを選択するにしても、リスクや弱点を理解し、信頼できないデバイスや組織のデータへのアクセスを適切に扱うことが鍵となります。

5.2 受験者の知識や意見に関する質問

Q1: 脅威、脆弱性、悪用、緩和とは?(説明)

Q1に聞くべき理由:この問題では、ITセキュリティに関する用語の理解と基本的な知識をアピールすることができます。脆弱性の悪用を防ぐために、ソフトウェア(またはカーネルレベルなどのメカニズム)に適用されるパッチや修正のことを指摘しましょう。

Q2: SQLインジェクションとは何か、XXEとの違いは?(説明)

Q2を聞くべき理由 候補者は、現代のアプリケーションで遭遇する一般的な脆弱性についての基本的な理解を示すことができる必要があります。

Q3: SSTI(サーバーサイドテンプレートインジェクション)は何が原因で、XSSよりも危険なのか?どのような違いがあるのでしょうか?

Q3を聞くべき理由 脆弱性は複雑です。時には、ある種のミスの発生が、アプリケーションの別の部分も誤動作していることを示唆することがあり、本当の脅威は、当初考えられていたよりもはるかに高い影響力を持っています。

Q4: とは何か。IDS、IPS、EDR。どのように違うのか?

Q4を聞くべき理由。 候補者は、攻撃者の発見と損失の発生を防ぐために使用されるツールの基本的なクラスを区別することができるようにする必要があります。

Q5: 非対称暗号化はどのように機能するのですか?どのような場合に使用すべきか?対称暗号化と比較して、長所と短所は何ですか?対称的暗号化アルゴリズムと非対称暗号化アルゴリズムを1つ挙げてください。

Q5を聞くべき理由 暗号技術は、現代のアプリケーションの安全性を確保する上で、どこにでも存在しています。候補者は、非対称暗号化の欠点(速度など)を知っている必要があります。

Q6: ストリーム暗号とブロック暗号の違いは?

Q6を聞くべき理由 現代の暗号技術で提供されているツールやそのユースケースについての基本的な知識を示すことができること。

Q7: ハッシュ(暗号)とは何か、何に使うのか、いつ、どのように暗号化と違うのか。使ってはいけないハッシュアルゴリズムと「安全性が証明されていない」ハッシュアルゴリズムを1つ挙げてください。

Q7を聞くべき理由。 候補者は、例えばクライアントのパスワードを平文で保存することは非難されるべき行為であり、ここにハッシュ関数を配置すべきであることを知っておく必要があります。例えば、安全でない関数はMD5です。SHA256はまだ衝突が証明されていないので、むしろ安全に利用できる。

Q8: PBKDFとは何か、その仕組みは?なぜ使うのか?

Q8を聞くべき理由。 これらの仕組みの存在や、日常的にセキュリティを導入するための効率的・便利な方法についての知識を示すことができること。

Q9: CSRFはXSSとどう違うのか?

Q2を聞くべき理由 候補者は、共通の脆弱性のクラスを区別することができる必要があります。

Q10: 指紋とは?

Q10を聞くべき理由 このトピックでは、候補者は遭遇したシステムを特定する方法について話すことができます。この手法は通常、攻撃者が偵察の段階で使用します。候補者は、指紋に基づいたユニークな追跡方法についても話すことができます。

Q11: ダウンロードしたファイルが正しいかどうかを確認するには?

Q2を聞くべき理由 この問題では、チェックサム、ハッシュアルゴリズム、暗号署名についての実用的で基本的な知識を身につけることができます。

Q12: CIAの原則を説明してください。

問12を聞くべき理由 CIA原理またはCIAトライアングルは、セキュリティポリシーを作成する際に用いられる基本的なモデルである。候補者は、これを使って、ルールやポリシーを作成する際に、どのルールを考慮すべきかについての深い知識を示すことができるようにしなければなりません。

Q13: ポートノッキングとは?

問13を聞くべき理由 候補者は基本的なセキュリティ対策を熟知している必要があります。ポートノックは防弾とは考えてはいけないので、この質問は少し引っかかる。

Q14: リモートサーバーを管理するためのセキュアなプロトコルの名前は?

Q14を聞くべき理由 リモートサーバ管理などの日常業務において、セキュリティを確保するための基本的なツールについて話せること。SSHもその一つです。

Q15: rloginとは何ですか?なぜですか?なぜ使わないのですか?説明してください。

Q15を聞くべき理由 ITセキュリティは非常にダイナミックな分野ですが、環境がレガシーな要件に対応しなければならないこともあります。そのため、rloginのような古い技術を使用しているのです。この質問に答えることで、候補者はセキュリティツールの深い知識を持ち、どのツールがセキュリティを欠いているのか、その理由を知っていることを証明することができます。

Q16: 硬化とは?

Q16を聞くべき理由 この問題では、環境やアプリケーションをよりセキュアなものにするための様々な方法について話す機会を与えてください。

Q17: 侵入テストとは?脆弱性評価とは?両者の違いは何ですか?セキュリティ監査とは何ですか?

Q17を聞くべき理由 この質問は少し厄介です。時々、これらの用語が誤解され、互換性を持って使われていることがあります。経営者はこれらの用語を誤用することがありますので、受験者はこれらの用語に精通し、違いを知っておく必要があります。

Q18: ペンタリングガイドの名前を1つ挙げてください。

Q18を聞くべき理由 ペントテストのレポートは通常、セキュリティエンジニアの机の上に表示されます。候補者は、レポートを適切に扱うだけでなく、ペネトレーションテストのガイドラインをいくつか知っている必要がありますが、ペネトレーションテストの影響を受けない機能についても考慮する必要があります。

Q19: PKI(公開鍵基盤)とは?どのように機能するのか?

Q19を聞くべき理由 この問題に答えることで、受験者は、暗号化ソリューションが提供する認証の取り扱いについての知識を証明することができます。このような仕組みを想定していることを意識する必要があります。

Q20: カーベロスとは?何に使われているのか?Windowsドメインで使用できるのか?

Q20を聞くべき理由。 大規模な組織のネットワークでは、アクセス制限に接続された領域の攻撃面を減らすための特別なソリューションが必要です。候補者は、最も一般的なソリューションの1つ、その利点と限界を理解していることを示すことができます。

Q21: 証明書のピン留めとは?正しいやり方は?

Q21を聞くべき理由 この問題は、安全でないチャネルでの通信にもかかわらず、セキュリティを確保することについての問題です。受験者は、一般的な緩和策についての知識を示すのに役立ちます。

Q22: 個人証明書が盗まれた時の対処法は?

Q22を聞くべき理由 この問題は、候補者に、企業のセキュリティに影響を与えるような行動について話す機会を与える実践的な問題です。これは非常にストレスの多い危険な状況であり、それに対処する方法を知っていることは、ソフトウェアエンジニアリングの属性の一つです。

Q23: 人気のある脆弱性スキャンツールの名前は?

Q23を聞くべき理由 この質問は、セキュリティエンジニアの仕事に関するものではありませんが、受験者はセキュリティ評価に使用されるツールの知識を証明することができます。

Q24: 青チーム、赤チーム、紫チームとは?どれが一番大事なの?

Q24を聞くべき理由 この質問に基づいて、受験者は攻撃的なセキュリティと防衛のどちらを重視しているかを示します。しかし、どのような選択をしても、これらの質問は、現代のセキュリティの課題と解決策を理解していることを示しています。

Q25: DLPとは何か、その仕組みは?

Q25を聞くべき理由 この問題では、データの漏洩を防止したり局所化したりするのに役立ついくつかのテクニックについて話す機会が与えられます。

Q25: WAFとは?WAFの解決策を1つ挙げてください。

Q25を聞くべき理由 最近のWebアプリケーションは本当に人気があります。それゆえに、それらは非常に頻繁にターゲットになります。候補者は、それらを保護するための可能性と、適用可能な一般的な製品についてある程度の知識を持っている必要があります。

Q26: SOP(同一原点主義)とは何ですか?

Q26を聞くべき理由 候補者は、最新のブラウザで実装されているこれらの緩和策とその長所、短所について話すことができることが必要です。

Q27: CSP(コンテンツセキュリティポリシー)とは何か、いつ使うべきか?

Q27を聞くべき理由 XSS は OWASP の脆弱性トップ 10 リストのトップに留まっているので、この質問は、候補者がこの問題に精通していて、適切な緩和策を知っていることを示すことを可能にします。

Q28: SQLインジェクションを緩和するには?

Q28を聞くべき理由 この問題では、ユーザが提供したデータが正しい方法で処理され、信頼されていないデータとして分類されることを保証するために、アプリケーションで使用される基本的な緩和策(例:準備されたステートメント)について説明することができます。

Q29: HSTSとは?なぜ使うべきなのか?

Q29を聞くべき理由 中の人はセキュリティに大きな影響を与えます。この問題に答える受験者は、この危険な攻撃を緩和する暗号アプライアンスとソリューションの基本的な理解を示すことができる必要があります。

Q30: TLS がどのように動作するかを説明してください(数文で)。

Q30を聞くべき理由。 この問題では、非常に人気のある技術で安全でない通信チャネルを確保するための現代の暗号化ソリューションについて話す機会を提供します。

Q31: 認可と認証の違いは何ですか?

問31を聞くべき理由 これは、受験者がセキュリティエンジニアとしての仕事で日々挑戦するであろう用語や課題を正しく理解しているかどうかを示す、本当に基本的な質問です。

Q32: ACLとは?どうやって使うの?

Q32を聞くべき理由 この問題では、受験者が現代のシステムにおけるアクセス制限ソリューションについて適切な知識を持っていることを示しています。

Q33: 名前の守秘義務レベル。

Q33を聞くべき理由 この問題では、組織内の資産保護のレベルを判断するための基本的な用語を話すことができます。

Q34: RADIUSとは?いつ使うべきか?

Q34を聞くべき理由 この質問に答えることで、受験者は、セキュリティを保証するための重要なレベルであるユーザの認証と認証のための現代的なソリューションについての深い知識を示しています。

Q35: VLANとは何か、いつ使うべきか?VLANホッピングの仕組みは?

Q35を聞くべき理由 この問題では、ネットワーク分離のためのネットワークソリューションをどのように利用するかを伝えることができるようになります。

Q36: 組織内でWiFiを確保するには?(ネットワークの分離)

Q36を聞くべき理由 幅広いテーマである。候補者は、複雑な問題の理解と脅威モデルの理解を示すことができる。

Q37: 攻撃者の知識レベルに応じたセキュリティテストの3つの方法を挙げなさい。最も信頼性が高く、現実世界のシナリオをシミュレートしているのはどれか。

Q37を聞くべき理由。 ペンテストは、実装されたセキュリティ対策に挑戦する方法の一つです。候補者は、脅威のモデル化やレポートの分析に役立つ模擬攻撃チームの知識のレベルを示すことができます。

Q38: ISO/OSIモデルのすべてのレイヤーに名前を付けてください。

Q38を聞くべき理由 この問題では、ネットワークの基本的な知識をアピールすることができます。

Q39: 残留リスクとは?

Q39を聞くべき理由 候補者は、脅威と脅威モデルについての深い知識を発揮することができます。リスクアセスメントで使われる重要な能力です。

Q40: あなたが小さな会社で働いていると想像してください。毎月数人のインターンが短期間雇用されています。彼らはいくつかのサーバーとWiFiネットワークへのアクセスを必要としています。あなたはどのように対処しますか?

Q40を聞くべき理由。 これは、受験者が企業のセキュリティを便利な方法で確保するのに役立つネットワークとセキュリティソリューションの知識を示すことができる実用的で幅広いトピックです。彼/彼女は、チーム間で1つのパスワードを共有し、変更する必要性を回避するために使用されるメカニズムを指摘する必要があります。

Q41: パスワードマネージャーとは?何に使うべきか?

Q41を聞くべき理由 この問題は、候補者がエンドユーザーのためにセキュリティの仕組みをシンプルにすることについての知識を示すのに役立ちます。

Q42: ブラックリスト化とホワイトリスト化、どちらのポリシーが良いでしょうか?

Q42を聞くべき理由 この問題では、サイバー戦争における防御者の立場についての基本的な知識を示すことができます。ホワイトリストのデメリットを知ることで、将来的に大惨事を防ぐことができるかもしれません。

Q43: 中途半端な攻撃とは何かを定義してください。

Q43を聞くべき理由 この問題では、現代の脅威や人気のある攻撃についての知識をアピールすることができます。また、対策についても話す機会を与えるべきです。

Q44: Diffie-Hellman 鍵交換 (DHKEX) はどのように動作しますか?

Q44を聞くべき理由 この問題では、受験者がよく使う仕組みの中で、最もポピュラーでよく使われているものを1つ挙げて話をすることができるようになります。

Q45: SIEMとは何か、どのように機能するのか?

Q45を聞くべき理由 組織の資産を守るために導入されているツールを理解していることをアピールすることができます。

Q46: DoSとDDoSとは?何が違うの?

Q46を聞くべき理由 本当によくある攻撃や、今も人気のある古い攻撃の基本的な理解を示してくれる簡単な質問ですが、このような質問をすることで、今の時代に必要とされていることがわかります。

Q47: DNSのなりすましを防ぐ方法と、DNSを確保する方法を教えてください。

Q47を聞くべき理由 この問題では、受験者は組織内の現代的な脅威に対する管理上の知識と理解を示すことができます。DNSの安全性について話すことで、受験者が内部ネットワークにおける現在の脅威に対抗するために提供されている暗号化の仕組みやソリューションに精通していることを示すことができます。

5.3 行動に関する質問 候補者が過去にどのように行動してきたかを聞くべきです。

Q1: 過去2年間はランサムウェア攻撃によって組織や企業が大混乱に陥り、莫大な金銭的・評判の損失を被ったことで占領されていました。あなたの組織でそのような事故が起こるのを防ぐために、どのような手順を踏むでしょうか?

Q1を聞くべき理由 この問題では、現代の脅威に挑戦し、非自明な問題を解く上での創造性を発揮することができるでしょう。

Q2: あなたのIDSが違反を報告しました。脅威を排除するために何をしますか?

Q2を聞くべき理由 これは、候補者がセキュリティポリシーを理解し、セキュリティ問題の複雑さを理解し、問題に対する広い視野を示すことができるようにするための幅広いトピックです。

オンライン・コーディング・テストを用いたセキュリティ・エンジニアの技術的スクリーニング - プロダクト・セキュリティ・エンジニアの面接質問6.オンラインコーディングテストを利用したセキュリティエンジニアスキルの技術審査

セキュリティは、抽象的な概念で考えるべきではありません。組織が直面しているセキュリティの脅威に対する準備と対応の継続的な一連のものでなければなりません。 前述したように、その主要な構成要素は、アプリケーションやネットワークのセキュリティをテストするツールを使用したコーディング能力です。使用するコーディングテストは、それを反映したものでなければなりません。

6.1 どのセキュリティプログラミングテストを選ぶべきか?

右のセキュリティオンラインプログラミングテストを探しているときは、彼らは次の基準に一致することを確認する必要があります。

  • これらは、実際に行われている作業を反映したものであり、実際の現代のセキュリティ上の課題を反映しています。
  • 候補者の時間をあまり取らないように、1時間から2時間を上限としています。
  • 自動的に送信され、どこでも撮影が可能なので、あなたと候補者に柔軟性を与えることができます。
  • 彼らは、ソリューションが動作するかどうかをチェックするだけでなく、コードの品質やエッジケースでの動作をチェックしています。
  • 可能な限り自然なプログラミング環境に近づけ、候補者が通常仕事で利用するようなリソースにアクセスできるようにしています。
  • 候補者には、仕事に最も重要なものを含め、通常使用するすべてのライブラリ、フレームワーク、その他のツールを使用させます。
  • 候補者の能力に見合った適切なレベルのものであること

7.DevSkillerすぐに使えるオンラインセキュリティコーディング評価テスト

DevskillerのRealLifeTestingTMの手法は、セキュリティエンジニアのスキルをテストするのに最適です。このプラットフォームは、学術的な質問をするのではありません。その代わりに、セキュリティエンジニアが経験と創造性を駆使してアプローチしなければならない実際のセキュリティ状況を設定します。さらに、テストは自動的に採点され、セキュリティエンジニアがどのようにして解決策を思いついたかを見ることができます。DevSkillerでは、コーディングとシステムの両方のセキュリティテストを提供しています。ここでは、いくつかの中から試してみましょう。

ジュニア
テストされたスキル
持続時間
70 分以内
評価
自動
テストの概要

選択問題

知識評価 セキュリティ, デブオプス, ドッカー

テストタスク - レベル。簡単

セキュリティ|SQLインジェクション|電子商取引のウェブサイトのメールリーク - ウェブアプリケーションのSQLインジェクションリークを見つける

ジュニア
テストされたスキル
持続時間
70 分以内
評価
自動
テストの概要

選択問題

知識評価 セキュリティ

DevOpsタスク - レベル。簡単

セキュリティ|SQLインジェクション|電子商取引のウェブサイトのメールリーク - ウェブアプリケーションのSQLインジェクションリークを見つける

シェアポスト

技術者の採用についてはこちら

ラーニングハブに登録すると、有益な情報をメールで受け取ることができます。

シームレスにコーディングスキルを検証&開発

DevSkillerの製品をご覧ください。

セキュリティ認証とコンプライアンス。お客様のデータの安全性を確認します。

DevSkillerのロゴ タレントブーストのロゴ タレントスコアのロゴ