この記事はCyber-sec+ Advent Calendar 2024の22日目の記事です。インフルエンザにかかったりしてひどく遅れました。まじすみません。
はじめに
このポストが話題になってました。自分はそのような相談を受けたことがないけれど受けた時に備えた素振りとしていろいろとアドバイス的なことを書いてみます。
あくまで私がこう考えているというだけのことで、抜けてる観点はあるかもしれないし底は浅いかもしれない。その辺承知の上でお読みいただければ。異論反論大歓迎。でもマサカリで殴ると人は死ぬのでお手柔らかに。
あなたのセキュリティはどこから?
「セキュリティに興味はあるけど~」と質問する際、「なぜ興味を持ったか」を添えてみてください。Zakiさんの「情報セキュリティ vs サイバーセキュリティ」の記事にもあるように、一口にセキュリティと言っても非常に多くのバリエーションがあります。セキュリティに興味を持ったきっかけを伝えることで、話が広がります。いいアドバイスが得られるかも?
「何をすればいいかわからない」というのには興味が定まってないので「どこから手を付けたらいいのかわからない」ということなのかなと思います。人への質問をきっかけに自分がセキュリティのどこに興味があるのか、もしくはないのかを考えてみるとよいかもしれません。
とはいえ、セキュリティに関わるのに高尚な理由は必要ありません。きっかけなんて「その辺でセキュリティという文字を見たから」とかでもいいんですよ。ここで重要なのは思考を整理することです。必ずしも今現在興味の方向性が定まっている方が良いというわけではないと思うので、定まらなければそれはそれで良く、いろいろと手を出してみるのがいいのかなと思います。
ちなみに私は学生時代の専門はセキュリティではなく、職に就くにあたって「セキュリティも何か面白そうだな」というくらいの感覚で足を踏み入れました。そんなのでもやっていけるので大丈夫です。
また、理由が「セキュリティは儲かると聞いたから」でもいいと思ってます。私は採用面談の時に「お金が欲しいから」と答えて入社してます。セキュリティを仕事にしてる人の10割は遊ぶ金欲しさにやってますからね(当方妄想調べ)
何を学べばいいか
ITの知識は必須
様々なセキュリティがありますが、ほぼその前提にあるのは情報システムです。TCP/IPネットワークやOSの仕組み、プログラムの仕組みなどは暗黙の了解で求められることもあります。セキュリティをやるならこの辺はある程度抑えておきましょう。
本を挙げるなら、ネットワークについて定番のマスタリングTCP/IPがいいでしょう。セキュリティ編もあります。
サーバーを構築してみる
その他の技術を学ぶのに何がいいかということについてあまり情報を持っていないのですが、同僚が新人教育でやっていていいなと思ったのは「Linuxを導入してサーバーを構築する」というのを一人でやらせる、というものです。その同僚が使っていた本は思い出せないのですが、Amazonで探すとそれっぽいのが出てきます。一冊買ってみるのもいいでしょう。
最近はクラウドがあるので一からサーバーを構築するということはあまりないかと思いますが、OSのインストールからやってみることでLinuxの操作技術が身に付きますし、サービスを提供するに後ろでどんなものが動いているのかというのを身をもって知ることができるので良いと思います。
セキュリティを学ぶ
情報セキュリティの基礎的な話は上にあげた「マスタリングTCP/IP 情報セキュリティ編」が詳しいのでまずはそれを読むのがいいでしょう。
サイバーセキュリティに関しては「サイバーセキュリティの教科書」が良いです。
Webセキュリティならバイブル的なものが「体系的に学ぶ 安全なWebアプリケーションの作り方」(通称徳丸本)です。これだけでWebアプリケーションに対する攻撃とその防御手法を学べます。
攻撃寄りの話に興味があるなら「7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性」もおすすめです。簡単なレベルから手を動かして学んでいけます。
CTFで手を動かす
スキルアップのためにはやはり実際に手を動かすのが良いです。CTFは手軽に手を動かすことができるので簡単なところから始めていくのが良い感じ。もちろんガチな問題もあるのでどこまで力を入れて取り組むかは各自次第。わからなくなったらwriteupを探して読んでみるのも良い。解けるようになったら自分でwriteupを書いて公開してみよう。
ぐぐっても同じような情報が出てくるけどいくつかおすすめリストを。
- CpawCTF
- 初心者向け。
- CpawCTF2
- CpawCTFと同じ運営。サイトの証明書が切れてるのでブラウザが警告出すけど怪しいサイトではない。
- MNCTF
- 過去開催分もプレイできる。
- ksnctf
- 国内の常設CTFの先駆け。
- picoCTF
- 海外のサイト。簡単なものから難しいものまで。
心構え的な話
何にでも興味を持とう
ある分野がそれだけで独立しているということはほとんどなく、他の分野と何らかの関わりがあります。自分の分野で話すと、私は社内SOCでセキュリティの監視とインシデント対応をしています。いわゆるブルーチームというやつです。ログ分析などの技術を磨くのもいいのですが、ブルーチームが対面するのは実際にサイバー攻撃を仕掛けてくる攻撃者たちです。レッドチームの技術を学ぶことでログから攻撃者の意図を読めるようになったりします。また、防御の対象は情報システムですが、こちらも日進月歩で進化しているため、その進化にキャッチアップしていくことで守りに深みが出てきます。
日々業務をこなしてたりぼけっとXを見てたりすると、いろんな情報が入ってきます。「興味を持つ」とはそんな流れてくる情報の中で知らない言葉が出てきた際にちょっと調べてみる、その程度でいいです。小さな知識欲を満たすことを続けていくといずれ大きな知識となります。
直接関連しているように思えなくても、興味を持って様々な分野を学ぶことは有用なことだと思います。小説家が様々な情報を吸収して作品を作り上げるように、様々な情報を身に着けた人間はどこかでその価値を発揮できるものと思っています。ですので、臆せずいろんな分野に突撃してみましょう。足を踏み入れるだけならタダです。ただし人間には身体的限界というものがあるのでそこには気を付けて。
外の世界に飛び出そう
これは業種に寄るかと思いますが、普段の仕事をこなしているだけだと外部の人との関わりがほとんどない、というケースがあります。そういう時には外部のカンファレンスや勉強会、展示会などに参加してみましょう。普段触れることのない分野の技術や情報に触れることでいい刺激になりますし、そういった情報を持っているということも自分の価値向上につながります。可能であればLTで発表などしてみると人脈も広がっていい感じ。
いつ始めても遅くない
新しい分野に興味が出てきた時に「今更これやるのもなあ」などと思うかもしれませんが、そんなことを気にしていてはいけません。英語で “It’s never too late to learn.” という言葉があるように、何かを学ぶのに遅すぎるということはありません。私もここ最近レッド側の技術に興味を持って手を出しました。
上を見すぎてはいけない
セキュリティに限った話ではないですが、いくら勉強して強くなった気になっても、世の中にはそれをさらに上回るバケモンが山ほどいます。技術的な話だけでなく、こいついつ寝てるんだと思うほどバイタリティに溢れてる人とかいます。そういった人に憧れて上を目指すのはいいのですが、どこまで行っても上には上がいるので、塩梅を考えないと自分を苦しめるだけになってしまいます。適切な位置を見つけましょう。
おわりに
一通り思うところを書いてみました。よく聞くような話であまり目新しいものもなかったかもしれませんが、これからセキュリティに足を踏み入れてみようと思う方の手助けになれば幸いです。