ここは、幼稚な「巨大児」とバカがうじゃうじゃいる業界だ。そいつらのせいで、業界全体が低スペックな人間の溜まり場に成り下がっている。
〇〇セキュリティチーム
この業界の特徴は、誰でも勝手に「〇〇セキュリティチーム」を名乗れることだ。
WeChatの公式アカウントを作れば「〇〇チーム」、掲示板を立てれば「〇〇コミュニティ」、スクリプトキディが数人集まれば「〇〇グループ」……。
名前だけは凄そうだが、実態は大学生のサークル活動レベル。少し突っ込んで聞くと、「うちは〇〇のレッドチーム出身がいる」とか「〇〇の脆弱性ランキングで何位だ」とか、偉そうにふんぞり返る。
子供の頃、小学生数人で集まって「江南七怪」を気取っていたのと大差ない。
〇〇セキュリティ研修
企業研修をやっていた頃、セキュリティ講師の知り合いが何人かいた。ネットで検索して出てくる講師は、Bilibiliやテンセント、個人サイト、公式バックアップのあるオフライン講師まで、君が思いつく限りの人間を私は知っている。
今のセキュリティ研修なんて、どれもWebペネトレーションの焼き直しで、カリキュラムはコピペ。最近の講師は、自分でコードを書いたりコード監査をしたりできる奴すらほとんどいない。
「SRC脆弱性発掘コース」なんて、結局は昔のツールで脆弱なURLを叩いていたスクリプトキディ時代に逆戻りしただけ。今の研修は、それを小綺麗にパッケージ化した「お洒落なスクリプトキディ」養成所に過ぎない。
ちょっとかじった程度で研修を始めて、カモを刈り取る。カモの方も、sqlmapを叩いてデータベースのパスワードを抜くのが「何年も修行が必要な超絶技巧」だと信じ込んでいるから、ハッカーへの憧れを抱いてバカな講師に金を払う。そして後になって、自分がカモられたことに気づくんだ。
実際、北京の某機関で500万円も払って学んだ学生が、現場でBurp Suiteすら使えなかった(誇張じゃなく、マジで)なんてケースも見てきた。
バカな研修機関がスクリプトキディを大量生産し、そいつらが経歴を盛り、「コード監査ができる」「脆弱性を見つけた」「HW(演習)に参加した」と嘘をついて業界に流れ込む。そうやってゴミがどんどん増えていく。
ゴミが増えれば、仕事はブラック化する
業界にゴミが溢れた結果、HR(人事)は履歴書を信じなくなり、学歴というハードスペックで足切りをするようになった。リストラされるのは、決まって低学歴のエンジニアだ。
学歴は、少なくとも受験戦争を勝ち抜いた「学習能力」の証明になる。セキュリティ業界には、そこまで替えのきかない高度な技術なんてほとんどない。なら、「高学歴+技術あり」を残すのは当然だ。たとえ技術が少し劣っていても、学習能力があれば教えれば済む話だから。
かつて、この業界は野蛮な成長期にあり、草の根出身や低学歴の独学派にもチャンスがあった。だが、中国人の「悪知恵」にかかれば、そんな業界もあっという間に食い潰されてしまう。