ここでは、どのようにセキュリティ分野の勉強をするのか、書いてみたいと思います。
勉強方法はざっと5つに分けられるのではないかと考えています。
①情報収集
②情報発信
③資格の取得
④講座の受講
⑤書籍による独学
それぞれ詳しく見ていきたいと思います。
1.情報収集
情報収集とは、セキュリティ分野の情報を集めたポータルサイトやメルマガをチェックし、世の中で何が起きているかを確認することです。
確認の観点には下記3つがあると思います。
①セキュリティ事件並びに新しい攻撃手法や脆弱性
②新しいセキュリティ対策や技術、考え方
③国際規格の更新や、国やNPOに属するセキュリティ団体が提供している出版物の確認
ちなみにセキュリティ関連の団体は下記にまとめています。
また、ある程度自分の知りたいキーワードを設定できるのであればGoogle Alertを利用した情報収集が楽です。詳細はこちらからどうぞ。
ここで情報取集した内容をとっかかりとして、興味のある分野を開拓していくのがよいと思います。
2.情報発信
情報発信とは、自身の知見や情報集した内容を組織外に発信していくことです。情報発信の方法は、大きく3つに分けられると考えています。
①ブログやコラムを書く
②講演する
③セキュリティ団体に所属して活動する
このブログも情報発信の一環として運営しています。誰かが言っていたのですが、『アウトプットを前提にしてインプットは定着しやすい』らしいです。情報発信するからには発信内容に一定の責任が生じるためでしょう。特に講演や書籍の執筆にあたり、組織の名前を背負った情報発信はかなりの勉強が必要だと想像しています。一方で「その組織を代表するだけの知見を持つ人」とも言えるので、業界に名前を広めるには絶好の機会だと考えます。
「情報発信はサイバーセキュリティのプロフェッショナルになってから・・」と考える方も多いとおもいますが、気にせずどんどん情報発信した方がよいです。
3.資格の取得
体系的に知識を得るには資格を取得するのも手です。真っ先に思い浮かぶのは、IPA主催の「情報処理安全確保支援士(旧 情報セキュリティスペシャリスト)」ですが、登録制となりハードルが上がったと考えています(値段もお高いですし)。なので、難易度的にはCompTIA Security+あたりをとっかかりとして取得するのが個人的には良いのかなと思ってます。
ちなみにはなくとは、情報セキュリティスペシャリストを持っているので、情報処理安全確保支援士に登録すればできるのですが、維持費用が高い(3年間で14万円!?)ため、登録する気はありません。同じお金をかけるなら、国際資格でもあるCISSPの方が評価されるのではないかと考え、CISSPを取得しました。受験記はこちらです。
セキュリティ関連の資格は下記にまとめています。が、難易度や分野毎にまとめ直そうと思ってます。今のまとめ方は雑になってるので。。
資格の取得だけでは、机上の理論で終わってしまうので、実際に手を動かしたり業務に使っていくと定着も早く、忘却も遅くなります。
4.講座の受講
講座の受講とは、MOOCs(※)や大学等で提供されている講座を受講することです。MOOCsではアメリカの有名大学の講義も受けることができるので興味がある人は受講してもいいかもしれません。昔、どのような授業があるか調べてみたのですが、サイバーセキュリティの基礎や暗号化に関する授業がありました。ただし、英語です(*_*)
英語の勉強も兼ねて、受講するのもありだと思います。専門用語も勉強できますよ。
※Massive Open Online Coursesの略で、無料で受講できるオンライン講義のことです。
Khan Academy、Coursera、JMOOC(日本語なのでお勧め!)等があります。
詳しくは下記をどうぞ。
https://www.techradar.com/sg/best/best-online-cyber-security-courses
日本語じゃないと嫌!という方の場合、Udemyでコースを購入して勉強するのも一つの手です。「サイバーセキュリティ」で検索すればいくつか出てきます。少々値は張りますが・・・たまにセールしているのでそこを狙うのもありです。
5.書籍による独学
これは書いてある通りですが、何からやればいいのか分からない方には難しいかもしれません。お薦めの学び方は、サイバーセキュリティ全体を軽く学び、そこから興味のある分野へと詳細化していくことです。ただ、この学び方は、仕事本気で学びたい場合に限られます。ちょっと興味がある、すぐに実機で試してみたい、という方には向いていません。
すぐに実機で試してみたい、という方には下記の本がお勧めです。
仮想環境の仕組み、構築手順やKali Linux設定手順までかなり細かく書いてあり、学生を含む初学者にもかなりとっつきやすい内容となっています。
また、少しですがRasberry Piの導入についても記載があり、IoTに興味のある方にもいいかもしれません。
少し古いですが、こちらの本も下記の記事で紹介されています。英語を読める人はこのリスト内の本をいくつか読んでみるのもいいかもしれません。
The 11 Best Cyber Security Books — Recommendations from the Experts
脆弱性全般について知りたい方、脆弱性診断をやりたい方はこちらをどうぞ。徳丸本です。
フォレンジックやCSIRTに興味がある方はこちら
5.まとめ
セキュリティ分野を勉強するには、
①セキュリティ分野の情報を集めたポータルサイトやメルマガのチェックによる情報収集
②ブログ執筆や講演による情報発信
③セキュリティ関連の資格取得による基礎知識の習得
④MOOCsを利用したセキュリティ関連の講座の受講による基礎知識の習得
⑤書籍による独学
全体から詳細を独学。手を動かしてみる。
があります。
おしまい。