はじめに
こんにちは。2025 年度新卒入社の伊藤です。
本記事では、FFRIセキュリティにおける 2025 年度新人研修の内容を、主に就活生の皆さま向けにご紹介します。はじめに研修の全体像を示し、次いでいくつかの研修をピックアップしてその内容をご紹介します。「入社後にどのような研修が受けられるのか知りたい」という方にとって、少しでも有益な情報になればと思っています。
私自身は大学でコンピュータ・サイエンスを専攻していましたが、分野としてはソフトウェア工学との関わりが最も多く、サイバーセキュリティ分野との強い関わりは入社までありませんでした。断片的に知っていることはあるけれど決して専門ではない、というような立ち位置です。以下は、このようなバックグラウンドを持つ新人が書いた記事としてお読みいただければ幸いです。
2025 年度新人研修の内容
FFRIセキュリティの 2025 年度新人研修は 2025 年 4 月頭から同年 7 月末までの 4 ヶ月間にわたって行われました。行われた各研修の名前と実施期間を以下に示します。
| 名前 | 実施期間 (日) |
|---|---|
| 管理系研修 | 4.6 |
| 技術系部署の全体像と役割 | 0.4 |
| 企業インフラ | 0.5 |
| Active Directory | 0.5 |
| 開発チュートリアル・プログラミング | 7 |
| ネットワーク基礎 | 1 |
| 文書作成スキル | 2 |
| プログラム解析入門 | 5 |
| IoT ペンテスト | 5 |
| Windows 解析 | 5 |
| エクスプロイト開発 | 12 |
| 要件定義作成 | 6 |
| 脅威動向と感染事例 | 1 |
| 品質保証 | 5 |
| Incident Response | 2 |
| サポート | 0.5 |
| 過検出判定 | 0.5 |
| 機械学習 | 4 |
| 脆弱性診断 | 2 |
| ダンプ解析 | 2 |
| クラウドサーバー | 1 |
| 自動解析入門 | 2 |
| 自習・復習 | 14 (計) |
サイバーセキュリティに関する専門的な研修はもちろんのこと、開発系の研修も上流から下流まで幅広く組み込まれています。
当社では拠点 (東京・横須賀) によって勤務形態が異なっており、各拠点の勤務形態に慣れるため、東京拠点で採用された新人はリモートで、横須賀拠点で採用された新人は出社して研修を受けました。
7 月末までこれらの研修内容をこなした新人はその後、いずれかの技術系部署に配属され、年度内は On-the-Job Training (OJT) 形式で研修として実務に取り組みます。私含め 2025 年度新卒入社の面々は、今まさに各部署で OJT の真っ最中であり、この記事も OJT の一環として執筆しています。
ピックアップ研修紹介
ここからは、私の主観でピックアップした以下の研修について、その内容を少し掘り下げて紹介します。
- 開発チュートリアル・プログラミング
- プログラム解析入門
- エクスプロイト開発
- 要件定義作成
- 自動解析入門
開発チュートリアル・プログラミング
研修期間の序盤に登場する、初めての長期にわたる技術系の研修です。
名前の通り、プログラミングおよび開発のチュートリアル的研修となっています。研修の最初に複数の課題が示され、受講者はそれを研修期間中に各々で実装します。とはいえ業務での開発を見据えた研修ですから、ただ実装して動くものができました、ではいけません。実際の開発で用いるツールを使用し、実装が終わったら手元で検証、プルリクエストを作成して講師にレビューをしてもらいます。講師によるレビューで承認されるまで、各課題は完了とはなりません。
本研修では、複数人体制の開発で重要な、実装 → レビュー → 修正 → 承認の流れを実体験し身につけていきます。特に「他人からコードレビューを受ける」という体験は個人開発ではなかなか得難い経験です。自分では上手く実装したつもりでも、レビューで思わぬ見落としを指摘されて反省することが多々ありました。
また、本研修では分からないことを調査しながら実装を進める能力が養われます。本研修における課題の実装には、Windows API や、時には undocumented な関数や構造体の利用が求められるものもあります。何かを実装したいとき、使えそうな機能を探し出し、その仕様を理解して利用するスキルは、開発全般において必要不可欠なものです。私も研修期間の多くを Microsoft 公式のドキュメントや個人によって reversing された情報の収集に費やしましたが、そのおかげで随分と調査力がつきました。
プログラム解析入門
開発チュートリアル・プログラミング研修の後、いくつかの技術系研修を終えてから開始される、2 つ目の長期間研修です。
本研修では、座学と演習のサイクルを繰り返し、ソースコードが手元にないプログラム (バイナリ) を解析する様々な手段を身に着けていきます。これまでサイバーセキュリティに関わってこなかった新人の面々にとっては、本研修がいわゆる "ハッカー" 的な所作を学ぶ最初の研修となりました。
一言で「プログラム解析」といっても、その内容は様々です。対象のバイナリやアセンブリコードの解析はもとより、バイナリから可能な範囲で復元したソースコードの解析や、対象を実際に動かしてキャプチャした API 呼び出しなど、動きの解析も行います。また、対象が依存しているライブラリなど、バイナリに含まれる種々のメタデータを解析することもあります。本研修では、これらの解析手法とその具体的なツールについて、実際に手を動かしながら学んでいきます。
一通り学び終えた研修の最後では、マルウェアを模したプログラムを、研修で学んだ手段を総動員して解析します。学んだ内容の総復習、兼、力試しですね。知識と道具は揃っている状況ですが、それでも決して簡単なことではありません。その分、あれやこれやと試し少しずつ解析対象の挙動が分かってきた時の喜びや達成感は非常に大きなものでした。
エクスプロイト開発
新人研修も折り返しに差し掛かろうというタイミングでやってくる、最大の難所にして最長の研修です。
本研修では、これまでとは打って変わって攻撃者の立場で、エクスプロイト (脆弱性を突く攻撃コード) の開発方法を学びます。本研修によって、プログラムに潜在する脆弱性の見つけ方や、それを攻撃者がどのように利用するのかが分かるようになります。
もちろん、昨今では攻撃に対する様々な防御機構が存在していますから、それらについても学びます。初めはほぼ防御機構が存在していない状況でエクスプロイトを組むのですが、Data Execution Prevention (DEP) や Address Space Layout Randomization (ASLR) 、Stack Canary など、有効な防御機構を 1 つずつ増やしていきます。新たな防御機構を学び、それを回避するためのエクスプロイト手法を学び…というように、ストーリー性のある構成となっています。
序盤こそ受講者ごとの経験値の差によって進捗に差が生じるのですが、後半になり難易度が上がるにつれ徐々に律速されていきます。本研修は特に受講者間での積極的な相談が強く推奨されており、他の受講者にヘルプを求めたり、画面共有で状況を共有しながらエクスプロイトを組んでいくケースもありました。分からないことを素直に聞いて助けを求める姿勢は通常の業務においても大切ですね。
本研修最後の 3 日間には総合演習が行われました。意図的に様々な脆弱性が組み込まれたプログラム (バイナリ) を解析し脆弱性を見つけ、各脆弱性の悪用可能性を検討し、エクスプロイトコードを組みます。刺さるエクスプロイトを組むのも難しいのですが、それ以前に、エクスプロイトに繋がる脆弱性をバイナリから見つけ出すことに苦労していた受講者も多かった印象があります。
新人研修が終わった今振り返ってみても、間違いなく最も難しく最も学びのあった研修でした。本研修で開発するエクスプロイトコードは基本的に Windows の電卓を起動するものだったのですが、試行錯誤してエクスプロイトコードが刺さり、電卓が起動された時の喜びは本当にすごかったです。
要件定義作成
2 週間弱続いたエクスプロイト開発研修の直後に行われた、開発における上流工程の研修です。過去には「製品開発研修」として上流から下流まで一貫した最も長期の研修だったと聞いていますが、今年度は内容を上流工程に絞り、要件定義作成実習として実施されました。
本研修は、受講者をいくつかのグループに分け、グループワークとして実施されました。架空の提案依頼書 (Request for Proposal; RFP) が渡され、それを元に要件定義書を作成します。研修の途中でクライアント (講師陣) による成果物の中間レビューが行われ、そこでの指摘事項を反映したうえで、クライアントに対する最終報告会が行われました。
直前まで行われていた研修とは打って変わって、本研修で扱うのは曖昧さを多大に含んだ自然言語です。クライアントとはもとより、要件定義書を共同で執筆するグループ内においても、コミュニケーションを怠らないことが重要となります。提案依頼書を出しているクライアント自身も、実現したいことを RFP で正確に表現できているとは限らないので、積極的に質問をしてクライアントが真に実現したいことを引き出していきます。最終報告の場でクライアントとの認識の齟齬が判明した場合は冷や汗ものです。
また、限られた時間内で成果物を作成するため、並列に稼働できるよう適切に作業を分担したり、自分のタスクが早めに上がったら空いているタスクを巻き取るなど、効率的に動く工夫も重要となりました。私自身は他メンバーに恵まれたこともあり、時間にはさほど追われずに余裕をもって成果物を作成できました。
開発では技術的な点ばかりに目が行きがちですが、人の要望を人が作ったシステムで叶えようとする以上、コミュニケーションを軽視していては良いものは作れないのだと感じました。
自動解析入門
新人研修の終盤に行われた研修の 1 つが、この自動解析入門研修です。今年度から新たに設けられた研修でもあります。
新人研修で扱うプログラム解析用のソフトウェアには、解析を自動化するための機能を備えたものが多くあります。また、そもそも解析の自動化を目的として開発されたツールも存在します。本研修ではそれらの基本的な使い方や、制御フロー (control flow) や計装 (instrumentation) など、解析自動化の文脈で頻出する基礎的な概念を学習しました。デバッガやリバースエンジニアリングツールの解析自動化に関する機能から始まり、後半ではシンボリック実行エンジンやファジングツールを用いた脆弱性探索の自動化まで取り上げられました。特にファジングやシンボリック実行については、ツールの使い方にとどまらず仕組みや内部構造まで丁寧に掘り下げられており、初学者から仕組みを詳しく知りたい人まで幅広くカバーされた研修内容でした。
本研修が終盤に配置された理由の 1 つに、「手作業でできないことの自動化は困難である」という考えがあり、手作業による解析手法を身に着けてから自動化の話をしたかった、という背景があったようです。基本的に、何かを自動化しようとする際は、手作業で行っていることを自動化可能な単位まで噛み砕かなければなりません。これまでの研修で様々な解析手法に触れてきたからこそ、どうすれば自動化できるか、また、何を自動化したいかがより分かるような研修構成になっていると感じました。
何事も使える時間は有限ですから、費用対効果を精査しつつ、今後の業務でも積極的に自動化を取り入れていきたいです。
おわりに
本記事では、FFRIセキュリティにおける 2025 年度新人研修の内容をご紹介しました。研修のラインナップを示し、そこからいくつかの研修内容をピックアップしてご紹介しました。
就活生の皆さまの中には「研修についていけるか」「業務についていけるか」といった不安をお持ちの方も多くいらっしゃると思います。私自身そのような不安を抱えて入社した 1 人であり、今もまだその不安が完全に払拭されたとは言いきれません。恐らく、今後も完全に払拭されることはないでしょう。しかし、このように振り返ると少なくとも入社前に感じていた不安の多くは杞憂でした。セキュリティに関する事前知識は一切求められませんし、長期間にわたる様々な研修で業務に必要な基礎をしっかりと身につけられます。今年度入社した新人のバックグラウンドは多種多様ですが、研修期間を経てそれぞれの部署で OJT に励んでいます。
本記事が、FFRIセキュリティの新人研修制度に興味や不安がある方の参考になりましたら幸いです。
エンジニア募集
FFRIセキュリティでは、サイバーセキュリティに関する興味関心を持つエンジニアを募集しています。 採用に関しては 採用ページ をご覧ください。
