セキュリティ初心者って色々よね。という話。

最後にしろおびセキュリティの話に触れますが、しろおびに限らず、セキュリティに限らない話。ポエムみたいなもんです。

「初心」を辞書で調べると、「（専門の）学芸・技術の習い始め」

「何かをやろうと思い立った当初の純真な気持」という意味もあるが、初心"者"がつくのは上記の意味。

「セキュリティのことはニュースで見聞きしたり全社員向け研修を受けたくらいで詳しいことは何も分かりません」

こういう人が初心者を名乗ることについて異を唱える人はあまりいないでしょう。

初心者にとって、セキュリティの資格保持者や実務経験者はとても眩しく見えるもの。

そんな眩しい相手が「自分もセキュリティ初心者です」と名乗り始めると、立つ瀬がない思いや違和感を覚える人もいるかもしれません。

あるいは、自信がなくともプロとして日々歯を食いしばっている人にとっては甘えているように見えるかもしれません。

資格を取るくらい勉強したなら／関連業務に携わっているなら基礎用語は全然知ってるでしょ。そもそも資格名にProfessionalって書いてるじゃん。安全確保支援士の対象者像なんて明らかに初心者じゃないじゃん。

確かに一理あります。

一方、資格を持っていても実務経験がなくてまだまだ初心者だと思う人もいます。

たとえば私は10年以上前、セキュリティ担当になる前にIPAのセキュリティスペシャリスト（今の安全確保支援士）に合格しましたが、それだけで「もう君は初心者じゃない」と言われたら大いに抗議したと思います。

実務経験者でさえ、特定領域に特化しているために、ある一面においては初心者ということもあります。

何も知らない人よりも、少しでも学び始めた人のほうがドメインの広さ・深さに気づき、より一層「自分は初心者だ」と思いを強めることは自然なことです。それは甘えや恥知らずと責められることではありません。

更にややこしいことに、世の中には無資格でもセキュリティ業務を直接担っていなくとも詳しい人が沢山います。

資格の場合、合格後に登録しなかったり更新せず失効すると、見た目上は無資格です。

結局のところ、初心者とはその人の立場や心情をもとに各自が宣言する主観的なものです。

資格や業務経験年数は、一定の物差しにはなれど、完全ではない曖昧なものです。

だから、あなたは初心者である／ないを他人が明確に決めることはできません。

ましてや、顔も名前も知らない相手のそれを正しく把握することなんて不可能です。

あなたが初心者だと思う限り、あなたは初心者なのです。

＊＊＊＊

少しコミュニティの話に移りましょう。

普段は「初心者」の定義を気にすることはあまりありませんが、しろおびセキュリティのように席数が限られたイベントとなると、途端に各自の事情や価値観がぶつかりはじめます。

こういう時は、事前に条件を決めすぎない。

希望者は、応募要件にあう限り（←重要）、自分の胸に聞いてみて「初心者だ」と思う人は応募すればいい。

運営は、できるだけ会のコンセプトにあう参加者が来られるように努力はするけれど、最後はランダムに選ばざるを得ない部分もある。

当選した人は参加してみて、残念ながら落選してしまった人は後日公開される資料を見て今後の参加方針を決めればよいと思います。

しろおびセキュリティの第一回の募集は12月14日（日）です。権威のある場ではなく町の寺子屋みたいなものなので、気軽にお申込みください。（先着順ではないので慌てる必要もありません）

なお、こういうブログを書くとコミュニティ運営悩んじゃってる？と心配の声を頂くこともあるのですが、ご安心ください。個人的に言語化する良い機会だな～と思い書いただけです。運営は楽しくやっています。

コミュニティの情報発信についてはconnpassのグループに参加するか@shirosecをフォローください。

約1年前に、TMC Tokyo × ZANSINというイベントに参加して感じたことを書いた。

nikinusu.hatenablog.com

今回は、そこから1年経って考えが加わったこと、変わらなかったことを続編として書き留める。

前回同様、個人の感想であり正解を提供するものではないことは予めお断りです。

Cyber-sec+ Advent Calendar 2024の12/19担当のニキヌスです。

今回はライトに、せっかく年末なので1年を振り返るものにします。

私にとってのこの1年はズバリ「SNS活動」です。

この活動を通して、自分の考えや気持ちが大きく変わった話をします。