NTTセキュリティセキュリティエンジニア面接体験記：ペネトレーションテスト・セキュリティアーキテクチャ・インシデント対応の完全評価

背景紹介

セキュリティエンジニアとして2年の経験があります。主にセキュリティベンダーでペネトレーションテストとセキュリティ評価の業務に携わってきました。日常的に接するのはWebペネトレーションと内部ネットワークペネトレーションが多く、インシデント対応の経験もあります。NTTセキュリティのセキュリティエンジニアポジションはずっと目標でした。日本を代表するセキュリティ企業であり、脅威インテリジェンスとインシデント対応の深い専門知識を持っているからです。今年の3月、ついに勇気を出してNTTセキュリティのセキュリティエンジニアポジションに応募しました。

応募後約5日でHRから電話があり、簡単な面談の後、面接が設定されました。全体のプロセスは3回の技術面接で、单独のHR面接はなく、三次面接の面接官が技術とマネジメントの両方を評価しました。全体の期間は約2週間でした。

面接プロセス振り返り

一次面接：ネットワークセキュリティ基礎 + ペネトレーションテスト（約70分）

一次面接の面接官はセキュリティリサーチャーでした。冒頭で最近注目しているセキュリティ脆弱性について聞かれ、Log4j2とSpring4Shellについて話すと、Log4j2のエクスプロイトチェーンの原理とバイパス手法について掘り下げられました。これは事前に準備していたので、JNDIインジェクションからRCEまでの完全なチェーンを説明し、WAFバイパスの各種テクニックも話しました。

ペネトレーションテストセクション：面接官からラボシナリオが出されました——SQLインジェクションが存在するWebアプリケーションについて、偵察からシェル取得までの完全なプロセスを説明するよう求められました。ポートスキャン、ディレクトリブルートフォース、インジェクションポイントの発見、Unionインジェクションによるデータ抽出、Webシェルの書き込み、権限昇格まで完全に説明しました。面接官からインジェクションポイントがWAFでブロックされている場合はどうするかとフォローアップがあり、エンコーディングバイパス、チャンク転送エンコーディング、HTTPパラメータ汚染などの方法を提案しました。

基礎理論セクション：TCPの3ウェイハンドシェイク、ARPスプーフィングの原理、DNSハイジャック、XSSとCSRFの違いと防御について聞かれました。また興味深い問題も出されました。WAFを設計するとしたらどうするか？ルールエンジン、意味解析、機械学習モデルの3つの観点から回答し、面接官はアプローチが良いと言ってくれました。

一次面接の終わりに、面接官から「ペネトレーション能力はしっかりしていますね」と言われ、少し安心しました。

二次面接：セキュリティアーキテクチャ + インシデント対応（約80分）

二次面接は明らかにレベルが上がり、面接官はセキュリティアーキテクトクラスのエキスパートでした。

セキュリティアーキテクチャセクション：面接官から非常にオープンな質問が出されました——中規模のIT企業のセキュリティ体系を設計するとしたらどうするか？ネットワーク境界防御、ホストセキュリティ、アプリケーションセキュリティ、データセキュリティ、セキュリティ管理の5つの次元から展開しました。面接官はゼロトラストアーキテクチャに特に関心があり、アイデンティティ認証、マイクロセグメンテーション、継続的検証を含む実装アプローチの詳細を求めました。BeyondCorpモデルとソフトウェア定義境界（SDP）のソリューションを説明し、面接官からゼロトラストと従来のVPNの比較、コンテナ環境におけるゼロトラストの課題についてフォローアップがありました。

インシデント対応セクション：面接官からシミュレーションシナリオが出されました——企業が大量の異常な外部通信トラフィックを発見し、侵害が疑われる場合、調査アプローチを説明してください。トラフィック分析、プロセス調査、ログ監査、悪意あるサンプル分析、追跡の5つのステップで詳細に説明しました。面接官から攻撃者がメモリシェルを使用している場合はどうするかとフォローアップがあり、Java Agentスキャン、異常スレッド検出、JVMメモリ分析などの方法を提案しました。その後、ランサムウェアのインシデントシナリオについて、発見から復旧までの完全なプロセスを求められ、実務経験に基づいて回答しました。

二次面接は約80分続き、これまでで最も長い技術面接の一つでしたが、最も充実していました。

三次面接：プロジェクトディープダイブ + 総合評価（約60分）

三次面接の面接官は部門責任者と思われ、実務的なスタイルでした。

プロジェクトディープダイブ：面接官から最も挑戦的なセキュリティプロジェクトを一つ選んで説明するよう求められました。以前手がけた金融クライアントのレッドチーム・ブルーチーム演習を選び、攻撃側の視点から外部ネットワークから内部ネットワークへの侵入、最終的にコアデータベースの権限を取得するまでを説明しました。面接官は横移動の詳細に特に関心があり、Pass the Hash、Pass the Ticket、Kerberoastingなどの攻撃手法の原理と防御について聞かれました。

総合評価：面接官からセキュリティ業界のトレンドについての見解を聞かれ、クラウドセキュリティ、サプライチェーンセキュリティ、AIセキュリティの3つの方向について話しました。その後、キャリアプランとNTTセキュリティを選んだ理由について聞かれました。最後にオープンクエスチョンとして、ゼロデイ脆弱性を発見した場合どう対応するかと聞かれ、脆弱性の検証、影響評価、責任ある開示、ベンダーとの調整による修正のプロセスを説明しました。

実際の問題まとめ

1. Log4j2のエクスプロイトチェーンの原理とバイパス手法は？

2. SQLインジェクションの発見からシェル取得までの完全なプロセスは？

3. SQLインジェクションに対するWAFバイパス方法は？

4. XSSとCSRFの違いと防御は？

5. WAFをどのように設計するか？

6. 中規模IT企業のセキュリティ体系をどのように設計するか？

7. ゼロトラストアーキテクチャの実装アプローチは？

8. コンテナ環境でゼロトラストはどのような課題に直面するか？

9. 大量の異常な外部通信トラフィックを発見した場合、どう調査するか？

10. メモリシェルの検出方法は？

11. ランサムウェアのインシデント対応の完全なプロセスは？

12. Pass the HashとPass the Ticketの原理は？

13. Kerberoasting攻撃の原理と防御は？

14. ゼロデイ脆弱性を発見した場合どう対応するか？

アドバイスと気づき

1. ペネトレーションテストには実戦経験が必要：NTTセキュリティの面接は理論だけではありません。面接官は実戦の詳細を深掘りします。CTFへの参加、ラボ環境での練習、バグバウンティプログラムへの貢献を通じて、実際のスキルを積むことをお勧めします。

2. セキュリティアーキテクチャには全体像の視点が必要：二次面接のアーキテクチャ問題は特定の製品の設定を問うものではなく、企業セキュリティ全体の理解を評価します。エンタープライズセキュリティ構築ガイドやセキュリティアーキテクチャの書籍を読むことをお勧めします。

3. インシデント対応には方法論が必要：IRはランダムに探すものではなく、体系的な方法論が必要です。MITRE ATT&CKフレームワークを学び、攻撃者の戦術と技術を理解することで、より的確な調査が可能になります。

4. 最新の脆弱性とトレンドに注目する：面接官は業界の動向への関心を重視します。毎日セキュリティニュースを読み、最新の脆弱性と攻撃手法に敏感であることをお勧めします。

5. コミュニケーション能力が重要：セキュリティエンジニアは脆弱性を見つけるだけでなく、セキュリティ問題を明確に説明し、修正を推進する必要があります。面接での明確な表現と論理的な厳密さは大きなプラスになります。

FAQ

Q：NTTセキュリティの面接で開発能力はどの程度求められますか？

A：ある程度求められます。セキュリティ開発能力（ツールやPOCの作成）はプラス要素ですが、必須ではありません。ただし、Pythonスクリプトで自動化できると、面接官に高く評価されます。

Q：ペネトレーションテストの実戦経験がなくても合格できますか？

A：かなり難しいです。NTTセキュリティのチームは実践的なスキルを重視しており、理論だけでは合格が難しいです。Hack The BoxやVulnHubで少なくとも数台のマシンを攻略することをお勧めします。

Q：面接でプログラミング問題は出ますか？

A：今回はアルゴリズム問題は聞かれませんでしたが、簡単なPythonスキャンスクリプトをその場で書くよう求められました。セキュリティポジションのプログラミング評価は実用性重視です。

Q：NTTセキュリティの異なるチームで面接の差は大きいですか？

A：かなり大きいです。脅威リサーチチームは脆弱性分析重視、インシデント対応チームは実際のインシデント処理重視、マネージドセキュリティチームはセキュリティ運用重視です。方向によって面接の焦点が全く異なるので、事前にターゲットチームを調査することをお勧めします。