未経験でも90日で形にするコンテナ×クラウドセキュリティ入門

目次

求人票に「Kubernetes運用経験」「IAM設計」「OIDC連携」と並んでいるのに、今の職場では触れる機会がない。このギャップに不安を抱えたまま転職時期を先送りすると、同じ悩みを持つ人たちと横並びで選考に挑むことになります。ここでは、未経験でも90日で「コンテナ×クラウドセキュリティ」を形にする学習ルートと、面接で語れるポートフォリオの作り方をまとめました。

いま求人票でつまずくポイントを先に潰す

  • Kubernetesの基本語彙(Pod・Service・Ingress・ConfigMap・Secret)が曖昧で、設計やトラブルシュートの話に入れない。
  • 権限周りがふんわりしているため、IAMロールとユーザー、キーポリシーとリソースポリシーの違いを説明できない。
  • セキュリティ事故の想像がつかず、面接で「鍵はどこで管理していますか?」と聞かれると詰まる。

90日ロードマップ(週6時間想定)

0〜30日: コンテナ基礎と最小クラスタ

  • Dockerでイメージ化→kindminikubeでローカルクラスタを1周。
  • 基本リソースを手でデプロイし、kubectl describe/logsで状態を読む練習。
  • AWS無料枠でEKSかECS Fargateを一度だけ構築し、Ingress/ALBで外部公開まで行う。

31〜60日: 権限設計とシークレット管理

  • IAMの最小権限を体で覚える。ロール分離(運用/アプリ/CI)とMFA必須をセットで設定。
  • OIDC連携とIRSAを使い、PodからS3やParameter Storeへアクセスする流れを実装。キーハードコーディングをゼロにする。
  • Secrets ManagerやKMSで秘密情報を保管し、kubectl経由で環境変数に渡すパターンを確認。

61〜90日: セキュリティと運用の仕上げ

  • NetworkPolicyで「外部へ出られるPod」「DBにだけ触れるPod」を分け、Security Groupとの住み分けを図にする。
  • CSPM(クラウドセキュリティ態勢管理)ツールを試す。Security HubやProwlerなどでベンチマークを走らせ、指摘事項→是正→再スキャンを1セット。
  • GitHub Actionsでtrivykube-benchを組み込み、PR時に脆弱性と設定ミスを検知する流れを作る。

ポートフォリオの型(再現性重視)

  • infra/ にTerraformやCDKでVPC・EKS/ECS・ALBまでのコードを配置し、READMEに作成/削除手順と概算コストを書く。
  • k8s/ にDeployment・Service・Ingress・NetworkPolicy・IRSA関連のManifestをまとめ、構成図を添付。
  • security/ にCSPMレポート、脆弱性スキャン結果、是正後の比較スクリーンショットを保存。指摘をどう潰したか短文で記録。
  • GitHub Actionsでterraform planとセキュリティスキャンの結果をPRコメントに出すと、面接で「再現性」を示しやすいです。

面接で刺さる短いエピソード例

「最初はPodからS3へアクセスできず、ロールをインスタンスプロファイルで渡していました。IRSAとOIDCを設定し直し、ポッド単位で最小権限を付けたところ、監査ログの誤検知も減りました。設定をREADMEに残したので、同僚も同じ手順で再現できています。」

いま動いたほうがいい理由

  • 2025年のクラウド求人はKubernetesとIaCのセット記載が増え、セキュリティ運用の経験有無で書類の通過率が分かれています。
  • IRSAやNetworkPolicyのような「一度触れば語れる」領域は、先に手を動かした人だけが失敗談を持てます。これが未経験でも差別化ネタになります。
  • CSPM結果と是正ログを持って面接に行くと、エージェント経由での推薦時に評価軸を明確にでき、選考スピードが上がります。

エージェントを味方にする進め方

  • 事前に渡すもの: インフラ構成図、GitHubリポジトリ(infra/k8s/security)、CSPM初回と改善後のレポート、希望条件の箇条書き。
  • 模擬面接では「Kubernetes運用」と「IAM/IRSA設計」をセットで深掘ってもらうよう依頼し、詰まった質問を学習計画に戻します。
  • 非公開求人の要件を週次で共有してもらい、足りないスキルを翌週のタスクに落とし込むと、学習と応募が同期します。

FAQ(よくある質問を短く)

Q. 個人でEKSを安く試す方法はありますか? 週末だけ起動し、平日はクラスターを削除する運用が現実的です。eksctl delete clusterをスクリプト化しておくと安心です。

Q. IAMロールとユーザーの違いは? ユーザーは人やシステムに紐づく長期的な認証情報、ロールは一時的に引き受ける権限セットです。IRSAではPodがロールを一時的に引き受けることで、長期鍵を持たずに済みます。

Q. 無料で試せるCSPMはありますか? AWSならSecurity Hubの30日無料トライアル、OSSならProwlerやScout Suiteがあります。まずは1サービスだけスキャンし、指摘が多い項目から是正すると続けやすいです。

クラウドインフラエンジニアを目指すなら、コンテナとセキュリティを並走させた90日プランが近道です。今日1時間でkindを立て、明日30分でIRSAのサンプルを動かす。その積み重ねが、書類と面接で効く「語れる経験」になります。

Recommended

おすすめ記事

TOPに戻る