さて、私はCSの学部生の直後に巨大なeコマースの開発者としてのキャリアを始めました。 人生は面倒でストレスがたまりましたが、開発者である間、それらのどれも持っていないことのポイントは何ですか。
ある日、私の世界がひっくり返り始めたときまで(そして私はそれに気づいていませんでした)。彼のマネージャーを嫌っていた私たちの主要なアプリケーションセキュリティ開発者の1人が解雇されました...そして私は彼の仕事を処理し、彼を置き換える責任を与えられました。私は最初に「ああすごい!それは楽しいはずです」(それは楽しいことではありませんでした)。私は自分の新しい責任が好きで、セキュリティは私にとって新しいものであり、ある運命の日まで、その分野で働くことは一度もありませんでした。
私はまだセキュリティ開発者としてのトレーニング段階にあり、本番環境のWebサーバーの5つがダウンし、その後交換されました。サービスは<>分間ダウンし、パニックが発生し、バックアップサーバーと交換する必要があったため、その日を節約できました。私は新人だったので、このダウンタイムを引き起こした何らかのエラーを犯した可能性があるとデフォルトで想定されていました。意図せず生産環境を変えてしまい、会社全体が停止に直面していることに罪悪感を感じました。
その夜、自分を呪いながらベッドに寄り添うと、涙がこぼれました。翌日は日曜日で、eコマースサイトのユーザーが最も多かった日です。チームとして何が悪かったのかをまだ調査していましたが、その日、サーバーが再びヒットし、運用が再びダウンしました。私がもはや非難されていないことを嬉しく思いましたが、IT部門全体が真剣になり、この問題の根底とそれが起こっている理由にたどり着く時が来ました。
インシデントの前後のネットワークトラフィックを調べ、約100万行のコードであるWebサイトのソースコードを監査する任務を負ったIT監査チームが設立されました。私はそのチームの一員であり、週末にウェブサイトがいつものようにダウンしている間、私たちはノンストップで働いているようでした。
ある日、私たちは14日8時間働いていて、オフィスでも寝なければなりませんでした。数か月のコード監査の後、<>つのバックドアが見つかりました。論理爆弾ウェブサイトをダウンさせるために特別に設計されています。
それが誰だったと思いますか?
最初に解雇された男!その男は大々的に訴えられ、刑に服している。
その月は私の人生で最もストレスの多い時期の1つでしたが、セキュリティについて、そして脅威が必ずしも外部から来る必要はないことについて多くのことを学びました。そこで働き、しばらくの間サイバーセキュリティについて知った後、私はそれを本当に上手にしなければならないことに気づきました。私はCybsersecurityでマスターを追求しました、そしてそれの残りは歴史です。
今日、私は当時を振り返り、この業界で私に休憩を与え、今日の私を作ってくれたその男を本当に呪い、感謝します。
【セキュリティ】の概念が広範なので目的や対象を絞らないと回答できないと思いますよ。
きっかけは、普通に、仕事です。
もうかなり前の話なので、DoS攻撃防御とかそんなんでしたね。DoSはDBインジェクションとかも含みます。
で、徐々にDDoSになって、最近ではゼロトラストとかも触る機会が増えてきました。
今はMicrosoftシリーズだけでゼロトラストが完結するのでいい時代です。Microsoftに任せておけば大体SSOでどこにでも入り放題、アカウント共有し放題、権限はADで全部完結。楽ですねー。
Linuxをやるとオマケで付いてきました。DMZに置くからセキュリティをガチガチに固めないといけなくて。守秘義務があるからお客様のことは書けないよ?
私は脆弱性点検とかではなくログ確認とかのお仕事がメインなのでその視点で。
2020/12/01 10:00 C:\Users\konishi\Desktop\202011勤怠.xlsx -> E:\202011勤怠.xlsx 5,254,555バイト domain.local\konishi ファイルコピー Success
といったログがあったとして、「エクセルでつけている勤怠が5MBも容量あるはずがない」と気づけるかどうかだと思います。
エクセルで実際そういう使い方したらどんな容量がわかっていること(普通に勤怠つけたくらいなら1MBもしないだろ)、EドライブがUSBメモリやSDカードといった外付けで持ち帰れるような媒体であろうという知識(技術?)はもちろんとして、
そんなことより「勤怠データのふりして何か持ち帰えろうとしている」と気づければセンスあります。
私は文学部卒でセキュリティも扱うインフラエンジニアを長くやっていますが、理系であるかどうかが仕事に影響したことは一度もありません。就職にも転職にも、全く関係なかったと思います。
しかし私を含めた文系エンジニアはどうしても仕事に必要なレベルの知識を身につけるだけに終わってしまい、やはりどこか知識が表層的です。仕事をする、ビジネスに貢献する、という意味では文系卒でも全く問題ないのですが、本物のハッカーにはなれません。セキュリティ製品を作るエンジニアリングチームの一員にはなれない、でもその製品を販売する手助けをすることはできる、というのが私のポジションです。
どういうレベルの仕事につきたいのかを考え、セキュリティ製品、セキュリティサービスを生み出すような技術者になりたいのであれば、情報工学を学ばれたほうがよいと思います。でも販売側に携わるエンジニアであれば、文系でも十分にやれると思いますよ。
なんのセキュリティがお好きですか?
セキュリティやりたいってだけ言っちゃうと、ITエンジニアになりたい、というのと変わらないのです。範囲広すぎてわからないのですよね。貴方がワクワクドキドキするセキュリティってのは、どこの部分なんでしょう。
例えば私はネットワークエンジニアなんで、ネットワーク系のセキュリティは一通り守備範囲です。
ですがセキュアプログラミングのようなコーディングにおけるセキュリティにはほぼ無知だし、コード読んでバッファオーバフローの起こりやすいところを見つけろと言われても何にもできません。
セキュリティには各種業界でのセキュリティ基準が存在していて、その基準にとっても詳しく、遵守できているかの判断ができるようなセキュリティ専門家もいますが、私だと有名なものしか知りません。
セキュリティと言っても、みな得意ジャンルが違うのですよね。だから、とにかくIT全般の勉強始めてみて、自分が興味でるところがどこなのか理解してから専門性を深めていくのがいいですよ。
私はネットワークなんで、ネットワークエンジニアならTCP/IPを理解してパケットダンプみてうヒヒ、となるところから始まります。人によってツボは違うので色々トライしてみてください。
私はセキュリティエンジニアという自覚が結構薄くて、自分のことをネットワーク、サーバー、セキュリティ含むインフラエンジニア、という位置づけで見ています。ですから、セキュリティを専門でやってこられた方とは、少し違うかもしれません。
セキュリティに軸足を置き始めたのは、私がカバーする領域の中でそこにしか企業の予算がつかなくなってきたから、と言ってしまっていいと思います。ネットワークはインターネットにつながればそれでよくなり、サーバーは雲の中に入ってしまいました。IT予算が全部サブスクリプションの中に入ってしまって、インフラ周辺で仕事している人間にとってはなかなか厳しい時代です。
セキュリティというジャンルの中で楽しいと思うことはあまりないです(笑)。出てくる言葉は「脆弱」だの、「疑い」だの、「悪意」だの、ネガティブなワードばかりで少々げんなりします(笑)。それでも、プロジェクトごとに人と関わりますし、チームで働きます。その中で顧客の要望を実現し、その見返りをいただく、というビジネスのサイクルは、やりがいがあり、楽しいと思えます。
こんな風に、私はセキュリティをビジネスのフィールドとしてみています。その中での人と人のつながりは、どのビジネスでも同じですが楽しいです。セキュリティそれ自体に思い入れのある方とはだいぶ違うかもしれません。しかし、電車やバスの運転手さんが、必ずしも大きな乗り物好きな人だとは限らないでしょうし、でも人々の役に立つのは嬉しい、とは思っているはずなので、それと同じことだと思いますね。
医師のオフィスに入れらてれて一人で待たされる事です。
監督無しだから、コンピューターも触れるし、医療機会を盗むこともできる。
Jail 留置書/刑務所で長年働いた経験から、いろいろなことが気になります。
一般のところでは患者の先に看護師が歩きますが。刑務所では囚人に背を向けない様に自分の前を歩かせます。
どこの施設も誰でも自由に出入りできるのが気になります。
セキュリティにはネットワークの深い知識が必要になるのですが、これは仕事の中で必ず必要とされるので覚えることができます。しかし、Linuxの知識はある程度まとまった時間がないと学習することが難しく、できるだけ若く実務に追われていないタイミングで学び触ることがなければ、実務の中ではなかなか覚えられないです。
良いネットワークエンジニアは、必ずLinuxの知識があり、そしてセキュリティにも強いです。しかしすべてのネットワークエンジニアにLinuxの知識があるわけではありません。キャリアの早いタイミングで、できるだけ深いLinuxサーバの知識を身につけることをお勧めします。
具体的に何を理解しておくべきか、思いついた範囲で列挙しておきますね。ちゃんとやろうと思うと多方面にわたります。だからこそ、独立した専門性とされるわけですけど。
- https の安全性の根拠と限界
- CORS の必要性と限界
- WiFi の安全性の根拠と限界
- 電子メールで何が詐称可能で、何が不可能か
- ログイン情報やクレジットカードを紛失した顧客に、どういう手続きを踏ませれば乗っ取られず安全にアカウントを回復させられるか。
- CVEを読んで、影響範囲と対応方法を理解できる事
並べてみるとやはりネット関係は多い気はします。それだけでは足りないけど。
とりあえずはその方面の読めるものをどんどん読んで、その方面のtwitter アカウントを20個くらいフォローすると、少しずつその世界の事が見えてくるかと思います。
結論から言えば、突破してみようとする人はいると思います。
サイトに対して脆弱性を調べたり、侵入しようという人の動機はさまざまです。
- インターネットの平和を守りたい
- 自分が知っているセキュリティの知識を試したい
- 侵入そのものが楽しい
- サイト内に個人情報等侵入者にとって有益な情報がある
- 脆弱性を報告するとお金を貰える or 脆弱性があると脅して金銭を要求する
- サイトを改ざんして金銭を要求する(ウェブに対するランサムウェア)
- サイトを改ざんして自分の主義主張をそこに書く
- …
お試しサイトであれば金銭目的という線はなさそうですが、腕試しをしたい人などは参加するでしょう。
一方、脆弱性を確認したり、サイトに侵入する側には法的なリスクがあります。分かりやすいところでは不正アクセス禁止法ですが、それ以外の法律に抵触する場合もあります。
サイトの利用規約などで、法的規制への免責条項が書いてあれば、突破してみようという人にとってはハードルが下がるでしょう。
一方、バグバウンティなど、ルールの元に脆弱性情報の報奨金を支払うサイトであっても、ルール違反の行為(ルート権限を奪取しようとする、脆弱性スキャナを使用する等)をする人も一定割合いるので、免責が書いてなくても、突破を試みる人はいると思います。
セキュリティ専門の仕事に就くための門戸は広いと思います。
日本シーサート協会によれば、セキュリティ専門職といっても以下の役割があります。
つまり、セキュリティを対策するための範囲は非常に広いため、細分化されています。まずは、この中から自分が興味を持てるものがあれば、そこについてスキルを高める事が近道だと思います。
その中で、代表的な役割として2つ挙げておきます。
脆弱性診断士(Pentester Skillmap Project JP)
有効な資格
- GIAC (Global Information Assurance Certification) … SANS
- CEH (Certified Ethical Hacker) … EC Council
- OSCP (Offensive Security Certified Professional) … Offensive Security
任用前提スキル
- OS、ネットワーク、アプリ、DBの脆弱性に対する知識
- パケットレベルの解析ができる能力
- ペネトレーションテストやツールに関する知識
- 一般的な攻撃手法に関する知識
追加教育スキル
- 自組織のセキュリティアーキテクチャに関する知識
- 新興の情報セキュリティ技術に関する知識
- 脅威情報に関する知識
- コンピュータ、ネットワーク防衛と脆弱性の評価ツールを活用できる能力
フォレンジッカー(Digital Forensics)
有効な資格
- GCFA(Certified Forensic Analyst) … SANS
任用前提スキル
- OS、コマンド、システムファイル、プログラミング言語の構造と ロジックに関する
知識
- 脆弱性診断に関する知識
追加教育スキル
- デジタルフォレンジックに関する知識
- メモリダンプ解析能力
- マルウェア解析能力
- リバースエンジニアリングの能力
- バイナリ解析ツールを利用できる能力
- セキュリティイベントの相関分析を行える能力
上記の経験を積むには、SECCONなどが開催するハッキングコンテスト「CTF (Capture the Flag)」に参加する事がおすすめです。実戦的なペンテストやフォレンジックのスキルが要求されます。
セキュリティ専門の仕事に就く想いが叶う事を願ってます。
わたしの場合、セキュリティ部門の社内異動公募に受かったから。というのがきっかけでした。2016年のことです。
以前は顧客管理システムのデータベースエンジニアをやっていたのですが、来る日も来る日も同じようなデータ抽出作業や社内調整ばかりで、エンジニアとして潰しのきかない業務に嫌気が差していました。
そんな中、セキュリティ部門が新しいサービスを始めるため異動希望者を募集を始めました。それまでセキュリティ部門といえば、システムを作るときに必ず同席し、アレコレ面倒くさいことを押し付けてくる人たちという印象しか持っていませんでした。ただ、コンピュータに対する造詣は深く、自分の持っていない観点からの指摘をして物事が正しく回せるようになるなど、その慧眼には一目置いていました。
わたしはそれまでセキュリティのことは何も勉強したことはなかったのですが、前述の後ろ向きな理由に加え、「セキュリティ部門の人たちのように、コンピュータに対してもっと詳しくなりたい」という理由で応募してみました。結果合格し、今に至ります。
今のわたしは、自社 SOC(Security Operation Center) でセキュリティ監視業務に就いています。サイバー攻撃の最前線にいるこの仕事は非常にエキサイティングで、悪意を持った人たちとガチで相対するのです。こんな闘争心を掻き立てられる仕事は IT 業界では他になく、そのような輩から会社を守るために日々の研鑽は欠かせません。
お陰で以前思っていた、自分がコンピュータに対して詳しくなりたいと言う願いは少しだけ叶えられている気がします。また、自分が勉強した結果を仕事にフィードバックし、その結果会社が守られるという自分本意な働き方ができているので、これからもこの仕事で頑張っていきたいと思います。
余談ですが、セキュリティ業界には「物事や人の営みを正しい方向に導こうとする」という、高い倫理観をお持ちの方が非常に多くいらっしゃいます。常に誠実であることがカッコいいと思っていた自分と、セキュリティ業界の理念が近かったというのも、セキュリティ業界で働き続けて行きたいと思う理由の一つです。
コストだと思います。
最近は「セキュリティはコストではなく投資だ」という言い方が評判がよいようですが、ではコストと投資の定義はどうなんだとなるだけで、言い換えに過ぎないように思います。そういう言葉遊びはよくないと考えます。
そもそも、コストとは、家賃であれ、人件費であれ、旅費交通費であれ、「必要だからこそのコスト」なのです。不要なものであれば、「コストですらない」わけです。本当に無駄なものにお金をおかけてはいけませんからね。
このように考えていくと、セキュリティはコストなのだと堂々と認めつつ、何にどの程度の費用をかけるべきかという、極めて当たり前の話に過ぎません。セキュリティがいくら大切でも、無制限に費用をかけることはできませんからね。
ということで、セキュリティはコストだが、それは必要なものだからこそのものであり、まずはそこを認めなければセキュリティに関する健全な議論は始まらないと私は思います。
quora初回答です。
拙い文章で申し訳ありません。
理由は2つあります。
1つ目にあまり興味がないことよりは、心から楽しめることを仕事にした方が自分の能力を高められると思ったからです。私は数学やプログラミングを学ぶことが楽しく、セキュリティについても興味があったので、セキュリティエンジニアになりたいと思いました。
2つ目は自分の好きなことでお金を稼ぐことが出来れば幸せな人生を送ることが出来るだろうと考えたからです。
セキュリティを生業としています。セキュリティと一口に言ってもとにかく分野が広いので、「え、マジでこんなにやんなきゃいけないの?」という広大な砂漠にひとりぽつんと立っているような虚無感に襲われることがしばしば(毎日)あります。
ある一つの技術を勉強している最中に、関連する別の技術を学ぶ必要が出てきたり、それに付随して全く別の分野のことを学ぶ必要が出てきたりなど、数珠つなぎでやることが無限に増えていきます。もちろん、「新しく学んだ視点で元の位置を見たら新たな発見があったぜ!」と言う喜ばしい事もあるのですが、さらに調べてみると既に周知の事実だったり、さらに新しい考え方が出てきていたりなど、がっかりするシーンが少なく(ほぼ毎日)ありません。
そのような広大な学習範囲の中から、自分のやりたいことを自分で見つけ、自分で切り開いていかなくてはいけない、しかも正解かどうかは分からないけどやるしかない。というのは、セキュリティ初心者に厳しすぎやしないだろうかと思います。逆に、その広さにワクワクする人はすごく向いてるでしょうね。
セキュリティの勉強に王道がないのが問題と言うか永遠のテーマだと思います。
セキュリティと言っても広範なので、実際どのような職を目指すのかによって違います。
セキュリティ技術の研究開発や、ツール類の実装、システムのデザインや構築など色々あります。
ネットワークシステムのセキュリティ分野では、インフラ要素の知識が中心となり、プログラミングは管理スクリプト程度の物で十分です。
解析系のセキュリティエンジニアだと、ハニーポットで遊ぶのがアリかもしれません。 最近ではバーチャルマシンで作った仮想環境で比較的容易に構築が出来ます。 ソフトウェアルータなど一式を展開して、ファイアウォール等色々な物を展開して、スニッファでパケットを観察して見ると色々な攻撃の仕組みを見ることが出来ます。
まぁ、完全に初歩ならIPの仕組み、各セキュリティ機器の機能理解などからはじめて、実際の機械を触ってみるというのが良いと思います。
セキュリティ関係はどのレベルも不足していますね。
コンサルから現場SEまで全体的にいないです。おかげで専門じゃない私にもセキュリティの仕事が回ってきますw
ただ、中でも特に問題になってるのは、セキュリティ対策そのものの基本的な考えや仕組みを一通り知っている人が少なく、売る方も買う方もセキュリティ全体を見る事が出来ないところですね。
セキュリティ対策といっても、色々あります。
NW、OS、端末管理のようなインフラから、アプリケーション開発上のセキュリティ対策、パスワードリストの扱い方のような人の運用まで様々で、どこか1つ欠けると全ての意味がなくなってしまったりします。
セキュリティを部分部分で話せる人はいるのですが(私もその1人)、全体を通して理解している人は結構少ないです。日本に100人とかそういう数しかいないんじゃないですかね。セキュリティ第一な金融系企業とかに1人くらいはいるイメージです。
セキュリティって少し知識があると本当に簡単に突破できちゃうんですよね。
それなのに、日本の企業は目先の費用優先で、しっかり対策しているようなところはほとんどないので、内部犯行系を止められる日本企業なんてごくごく一部じゃないでしょうか。
少し前に松井証券で外注のSEがユーザー情報を抜いて不正アクセスする事件がありました。
松井証券の内情はよく知りませんが、金融機関なのでセキュリティ部門はあるとは思います。もしかしたらセキュリティ全体の事を知っていて、こういう事を止められるような人材がいなかったのかもしれませんね。
最初はなかなか見当がつかないですよね。私もサイバーセキュリティに関係する仕事を始めて浅いのでお気持はよく分かります。
いきなり専門書を購入したり有料セミナーに参加せずとも、Web上でサイバーセキュリティに関する良質な情報が多数見られますので、まずはそれを見てみるのが良いと思います。入門編としては、NISC(内閣サイバーセキュリティセンター)が発行している「インターネットの安全・安心ハンドブック」や、IPA(情報処理推進機構)の「情報セキュリティ啓発」に掲載されているコンテンツがおすすめです。英語が苦にならなければNISTの「Online Learning」なども良いでしょう(NISTのフレームワークやレポートはいくつか和訳されてIPAに載ってたりします)。
サーバーセキュリティの基礎が少しずつ分かってきたら、次は「サイバーセキュリティを学んで何がしたいのか」を考えるのが良いと思います。エンジニア(サイバーセキュリティ技術・製品・サービスの開発など)になりたいのか、アナリスト(脅威情報の分析や企業などがサイバー攻撃を受けていないかの監視など)になりたいのか、コンサルタント(組織全体の情報セキュリティ戦略やその他専門領域におけるアドバイザリーなど)になりたいのか・・・。他にも色々ありますが、どういった方向に進みたいのかで自分が備えていなければならない知識や技術が見えてくると思いますので、そういう段階になったら後は同様にWebや書籍や実務(学生であればゼミなど)などで専門性を深めていけば良いのかなと思います。
上はあくまでも私の経験をベースにした回答であって、確立された勉強法とかではなくて恐縮ですが、少しでも参考になれば幸いです。
個別開発では「クライアントと同じセキュリティソフト」
コンシューマー開発では「なるべく多くのユーザーが使用しているセキュリティソフト」
だと思います。それ以外の条件が考えられません。
例えば Windows の場合、なぜ作成したソフトウエアにデジタル署名を付けるのか理解できますか。セキュリティソフトが悪さをして未署名のアプリを削除することもあるのですよ。以前 社内ソフトを cygwin で作成していて、ビルドした端から食べられたことを見た時から考えが変わりました。なので。できるだけお客さんと同じ状況に自分のPCを近づけることが重要だと思っています。コード書くだけの仕事じゃありませんからね。
「セキュリティ知識分野(SecBoK)人材スキルマップ」では以下の役割が定義されています。
セキュリティに携わる人間は、この中の一つだけというわけではなく広く浅く、自分の得意分野や興味のある分野に足を突っ込んでる(仕事でイヤイヤやってるのも含め)感じだと思います。ぜひご自身のやってみたいことを見つけてください。
JNSA セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
———————————————
CISO(最高情報セキュリティ責任者)
POC(Point of Contact)
ノーティフィケーション
コマンダー、トリアージ
インシデントマネージャー、インシデントハンドラー
キュレーター
リサーチャー
セルフアセスメント・ソリューションアナリスト
脆弱性診断士
教育・啓発
フォレンジックエンジニア
インベスティゲーター
リーガルアドバイザー
IT企画部門/コンサルタント
ITシステム部門/ネットワークアナリスト
情報セキュリティ監査人
基本を忠実に守ることです。できている企業は限りなく少ないと思っています。
1. 何故情報セキュリティ対策を行うのかを決める
2. 情報セキュリティ対策を行う対象を決める
3. 対象の情報セキュリティ対策の現状を調査する
4. 調査結果を分析する
5. 分析結果から、対象それぞれの情報セキュリティ対策を是正する
4, 5については頻繁に行うことになると思います。ログが残っていなければそもそも調査もできないので、ログを色々な箇所で取得し、保全、分析するのが重要です。
面倒な作業ばかりですが、情報セキュリティにも銀の弾丸はありませんので。
7payヤバイ!パスワード再設定に「とんでもない問題」が発覚!本当にキャッシュレスしてしまう恐れ!
パスワードリセットの変更通知が任意のメールアドレス宛にできるので、7payの会員ID(メールアドレス)、生年月日、登録電話番号を知っていればアカウントをのっとれてしまったのです。生年月日はSNSでメールアドレスを検索し、友達申請して承認されれば簡単に取得できるでしょう。電話番号もLINE等で友達になれば知ることができる可能性があります。
7payを使った不正購入事案についてまとめてみた - piyolog
のように多くの被害事例がでて当時話題になっていました。
「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由(西田 宗千佳)
のようなこともあり、結局このサービス、サービス廃止になってしまったのでした…
自分や身内しか使わない便利ツールをこっそり開発して使っていく分には、必要ありません。最低限、サイト全体へ認証パスワードをかけておくとか、 url を長めにして非公開にしておけば十分です。
一般公開を考えているなら、セキュリティの穴があるサービスはハッカーのおもちゃにされてしまう恐れがあります。有償のサービスを組み合わせて使う場合、そこに異常な課金が発生して金銭的損失を被る恐れもあります。請求元に「不正アクセスされた」と訴えても、あなたの支払いが免除されるケースはごく稀です。
建物や施設のセキュリティで最強なら核武装(核施設でも可)と核シェルターの用意、また複数の地域に機能をバックアップさせて数カ所が被災したり壊されても残りの数カ所で機能を維持させることだと思います。
サイバー的なセキュリティに関してはインターネットに繋げない、保存にフロッピーディスクを使う、電磁パルス対策を施す、データは必ず印刷するなどアナログな方法でしょう。
仕事にすること自体は、売り込み方次第ですので、自分が持っているものをどう理解してもらうか、それに価値があると思ってもらえるか次第に思います。
「文系理系」という軸で見ないほうが良いと思います。
情報処理という分野はその分け方の両方にあり、
理系はガチガチの理論、
文系は応用
で進んでいる感があり(あくまで外から見た、なんとなくの差ですが)、
ハックは応用する人たちのノウハウ、の延長線に属している部分が大きいので、
必ずしも理系の教育機関(学部)が有利とは限らないのです。
あと、講義で習う内容はある意味“役に立たない”(基礎、教養として役に立てば御の字)もので、
自分でいろいろやる積極性のほうが役に立つように思われます。
セキュリティの職種は非常に多岐にわたるので、一概にハッキングの勉強をするかと言えば必ずしもそうではありません。どのような職種があるかは、以下の「セキュリティ知識分野(SecBoK)人材スキルマップ」のサイトをご覧ください。
JNSA セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
この中で、脆弱性診断やセキュリティ監視をする方々は攻撃者の視点や手法を知っていたほうがいいため実際に勉強することもあります(むしろ、したほうがいいです)。また、インシデントハンドラー(セキュリティ事故が起きた時に指揮を取るような人)は必ずしもハッキングのスキルは必要ではありません。
ただ、実際に自分がハッキングをできる技術やスキルを持っていないとしても、セキュリティの攻撃手法や防御手法の概要については全員学ぶ必要があります。
その攻撃がどのような攻撃なのか、どうしたら攻撃が成立するのか、攻撃が成立するとどのような被害が起きるのか、その攻撃を防ぐにはどうしたらいいのかというのは、セキュリティの現場では当たり前の用語として話されるため勉強する必要があります。
ネットワーク、暗号、ハードウェア、OSあたりが最低限の必要スキルです。
実務では関連法令や規格等の知識も必要になります。
真面目に守って、結果がどうなるか?をログを見て検討してみて下さい。
どこからの攻撃が多いかとか、どのポートが叩かれるかとか、生の実態が見えます。
ただ、間違っても適当なセキュリティにして、放置しないで下さい。踏み台にされて、他の人に迷惑がかかります。
おそらく、情報処理の資格を取ることが知識を得るには良いかと思います。
0 コメント:
コメントを投稿