1. はじめに

サイバーセキュリティ人材の育成は、IT業界全体の深刻な課題です。
特に脆弱性診断士として独り立ちするまでには、幅広い知識と実践的なスキルが求められます。

しかし、セキュリティの重要性が高まる一方で、体系的に学べる環境や明確な学習の道標が少ないことが、挑戦する方にとっての大きな障壁となっていると思います。

そこで当社では、未経験者でも安心して学び、確実に成長できる教育プログラムを作成しました。

本記事では、新卒や中途未経験者がどのように診断士として自立していくのか、その具体的なステップをご紹介します。

---

💡 この記事はこんな方にオススメです。
・セキュリティ業界に興味があるが、何から始めればいいか分からない方
・「未経験から専門職を目指す」ことに不安を感じている方
・社内のセキュリティ教育体制を構築したいと考えている担当者の方
・情報システム部門で、急にセキュリティ担当を任されて困っている方

2. 新人教育における全体方針

「分からない」が当たり前。だから、安心して学べる環境を

セキュリティ診断は専門性の高い分野です。最初から全てを理解できる人はいません。
当社の教育で最も大切にしているのは、「分からないことを、分からないと言える環境」です。
誰もが最初は初心者です。つまずくことも、理解に時間がかかることも当然です。

だからこそ、質問しやすい雰囲気づくりと、一人ひとりのペースに合わせたサポート体制を心がけています。

2-1. 早期自立・自走力の育成

一方で、いつまでも手取り足取り教わる状態では、真の成長は望めません。
本プログラムが目指すのは、「自分で調べ、考え、必要なときに適切に質問できる力（自走力）」の育成です。

技術が日々進化するセキュリティ業界において、自ら情報をアップデートし続ける「自律」した姿勢こそが、長く活躍し続けるための土台となります。

2-2. 段階的に、確実に力をつける「フェーズ制」

「いきなり難しいことに挑戦して挫折する」ことを防ぐため、学習内容を3つのフェーズに分けて設計しています。
プログラミング基礎や周辺技術の習得から始まり、脆弱性の理解、実践的な診断スキルへと、着実にステップアップできる構成です。

3. 学習ロードマップの全体像

3-1. 約3ヶ月(10週間)で、基礎から実践まで

本プログラムは、合計約3ヶ月(10週間)で学習することを想定して、構成されています。

---

フェーズ0（2週間）：プログラミング基礎
フェーズ1（4週間）：脆弱性診断の基礎理解
フェーズ2（4週間）：脆弱性診断の実践演習

---

各フェーズは、前のフェーズで学んだ内容を土台に、次のステップへ進む設計です。無理なく、着実にスキルアップできます。

3-2. あなたの経験に合わせて、柔軟にカスタマイズ

「IT業界自体が初めて」という方もいれば、「開発経験はあるがセキュリティは未経験」という方もいます。当社では受講者のスキルレベルを以下の3パターンに分類し、個別の進め方を提案しています。

---

・パターン1：開発経験がある方
・パターン2：IT知識はあるが、開発未経験の方
・パターン3：IT知識も開発経験もない方

---

今の自分に最適なスタート地点から、背伸びせずに理解を深めていくことができます。

3-3. 毎日の進捗共有で、迷わず進める

学習中は、毎日Slackで進捗を報告します。「今日はここまで進んだ」「ここが分からなかった」と共有することで、メンターが適切なタイミングでサポートします。

一人で悩んで立ち止まることなく、常に前進し続けられる仕組みとなっています。

4. フェーズ別育成ステップ

4-1. フェーズ0：プログラミング基礎

「プログラミング未経験でも大丈夫？」—はい、大丈夫です。

---

目標：Webアプリケーションが動く仕組みをソースコードレベルで理解する
期間：2週間

---

Webアプリケーション脆弱性診断を行うには、Webアプリケーションがどのように動いているかを理解する必要があります。このフェーズでは、PHPを使って簡単なWebアプリケーションを実際に作りながら、プログラミングとWebの基礎を学びます。

未経験者向けの参考書を使いながら、認証機能や投稿機能など、実務でよく使われる機能を一通り体験します。Docker環境を用意しているので、面倒な環境構築は不要です。

「50〜60%理解できたら次に進む」という方針で、まずは手を動かし、Docker環境での開発を体験することから始めます。

4-2. フェーズ1：脆弱性診断の基礎理解

「脆弱性って何？」から「どうやって見つけるの？」まで、体系的に学ぶ

---

目標：脆弱性の仕組みを理解し、基本的な検出方法を習得する
期間：4週間

---

このフェーズが、プログラムの中核です。

脆弱性とは何か、なぜ危険なのか、どうやって見つけるのかを、段階的に学んでいきます。
業界標準の参考書や実習環境、世界標準の演習サイトを使い、脆弱性ごとに「理解→練習→実践」のサイクルを回します。

読んで理解するだけでなく、実際に手を動かすので、確実に身につきます。

学んだ内容は、独自の「理解度チェックシート」に自分の言葉でアウトプットし、メンターのフィードバックを受けます。これにより「分かったつもり」のまま進むことがないので、安心して学習を進められます。

4-3. フェーズ2：脆弱性診断の実践演習

「実際の診断業務って、どう進めるの？」を体験する

---

目標：疑似診断を通して、一連の診断業務フローを完遂する
期間：4週間

---

最終フェーズでは、実際の診断業務に限りなく近い形で、疑似脆弱性診断を行います。
もともと脆弱性が存在する「やられ環境」を対象に、診断業務の一連の流れを体験します。

技術だけでなく、報告の仕方、レポートの書き方など、実務的な内容もこの段階で身につけます。

いきなり本番の案件に入るのではなく、失敗しても大丈夫な環境で練習できるのがポイントです。

このフェーズを終える頃には、「OJT（実案件）に入っても、何をすべきか明確に分かる」という自信が身につきます。

5. 進捗管理とコミュニケーション文化

5-1. 毎日の進捗共有で、「一人じゃない」を実感

学習中は、Slackのチャンネルで、毎日進捗を報告します。

この仕組みの良いところとしては、

・メンターが適切にサポートできる
詰まっている箇所を早期に発見し、コミュニケーションを取れます。

・自分の成長を振り返れる
過去の自分の報告を振り返ることで、確実な成長を実感できます。

・孤独にならない
「一人で悩まなくていい」という安心感が、学習効率を最大化します。

5-2. 「困っていること」を発信する文化

「こんなことを質問したら、迷惑かな」「自分で調べるべきかな」—そんな遠慮は不要です。

もちろん、まずは自分で調べることは大切ですが、それでも分からないときは、遠慮なく質問してください。

心理的安全性を大切にしているからこそ、初心者でも安心して学べる環境を強く意識しています。

5-3. チーム全体で育てる雰囲気

新入社員の成長は、メンターだけでなく、チーム全体で支えます。
先輩社員も、自分が学んできた経験を共有したり、質問に答えたりすることで、新入社員の成長をサポートします。
また、新入社員同士で情報交換することも推奨しています。
「あの参考サイト、分かりやすかったよ」「この問題、一緒に考えてみない？」といったコミュニケーションを大切にしています。

6. おわりに

本プログラムを修了した先には、先輩社員と一緒に実際の案件に取り組むOJTが待っています。

「分からないことだらけで不安」な状態ではなく、「学んだ基礎が、現場でどう活きるのか試してみたい」というワクワク感を持って、エンジニアとしての第一歩を踏み出せるはずです。

ここまでご紹介した内容は、社内の新入社員向けに設計されたものですが、「段階的な学習」と「適切なフィードバック」の重要性は、独学されている方にとっても共通の指針になるはずです。

これらを意識することで、未経験からでも確実に成長できます。

本記事でご紹介した内容が、セキュリティ学習を検討されている方、情報システム部門でセキュリティを担当することになった方にとって、「自分にもできそう」と思える指針になれば幸いです。

---

興味をお持ちいただけたら、ぜひ採用サイトもご覧ください！
>>>レオンテクノロジー採用サイト👆