セキュリティ業界に転身するための方法 — パーツ4:セキュリティの基礎知識とあらゆる業務

セキュリティの基礎知識とあらゆる業務

キタ━━━━(゚∀゚)━━━━!! って感じですね。

組織のセキュリティ戦略には、 多くの構成要素があります。 初心者にとって、組織の情報資産を保護するためのすべての面を特定し、 理解することは困難だと思いますので、 本稿でセキュリティ(厳密に「情報セキュリティ」)の基本的な概念を高いレベルで概説し、 さまざまな情報セキュリティの領域と、 それらを実際に使うため、何を学べばいいかを紹介します。

僕の考え方として、まずは組織が採用している情報セキュリティ戦略に焦点を絞って学習する必要があると思います。 機密性、完全性、ガバナンス、リスク管理、コンプライアンスなど、 情報セキュリティの基本原則について学びます。

  • 組織の資産と、それらがどのようにセキュリティ・コントロール(制御)によって保護されているかについて
  • 監査、モニタリング、およびペネトレーション・テストを介し、セキュリティ・コントロールをどのように評価するか
  • 組織が直面するセキュリティ・インシデントおよび災害をどう準備・管理する等、日常的な運用について

以上の点より、情報セキュリティ全体像に関する知識と理解を得ることができるでしょう。

相変わらず、 CompTIA の適切な認定資格があります。 CompTIA Security+ のカリキュラム内容は以下と若干の差異がありますので、 両方を確認するといいでしょう。

様々な領域を紹介しますので、全てを完璧に、暗記する必要はないと思いますが、 例えば面接でそれらのテーマについて質問されたら、 「知りません」とならないように概念を理解。

僕は「デジタル・フォレンジック」とかについて、 表面的な知識しかありません。 それ以上の知識は業務上で必要がありませんが、 もしもインシデントが発生したとき、 弊社のインシデント・レスポンス・チームと話し合って彼らが必要とする情報を共有することができます。

その程度のレベルになるための「勉強計画」を書いておきました。 CompTIA Security+ と合わせて、自分の勉強計画に使ってみてください。

IPA の試験と資格について一言。

日本のセキュリティ業界で活躍する上で、 初心者向けに評価されている試験としては情報セキュリティマネジメント試験があります。

個人的には日本でしか通用しない、 かつ、一部のウェブサイトにアクセスしたとき・・・

サイトの証明書のハンドシェイクが古すぎるとのこと 「安全な接続ができませんでした」しーん。

・・・なので受けることを考えたことがなかったですが、 内容は僕が以下推奨するものと似ており、 日本語環境で活躍をお考えの方は検討してみてください。

その後、国家資格「情報処理安全確保支援士」を目指すといいでしょう。

なお、読んだらお分かりになると思いますが、 ツール名、フレームワークやベスト・プラクティスを紹介しません。 それらはよく変わりますので、紹介したところでもう時代遅れかもしれません。 ツールは楽しいので使ってみることは構いませんが、 基礎では概念の理解が最も重要です。

幅広く情報を収集して勉強することで、 自分の好みと向いている領域を理解するようになり、 専門化するときに役立ちます。

暗号化技術

情報がネットワークを通過する際に、傍受やデータ改ざんを防ぐため、 電子通信を確実に保護することは不可欠です。

暗号技術がどのように人や企業と政府機関の全体的なセキュリティ戦略に組み込まれるかを学ぶ必要があります。

勉強計画

  • 暗号技術の歴史に少し触れる(歴史を勉強することで、暗号技術においてなぜこんな決まりがあるかが分かるでしょう)
  • さまざまな種類の暗号アルゴリズムについて
  • 暗号技術を使用して、今日から自分の情報を保護する方法を身につけましょう

最後の点は重要です。

暗号技術に限らず、自分のデータを保護しない(バックアップをとらなかったり、端末のアップデートを無視したり)や、 パスワード管理ツールを使わない人がどの口で他人に「情報管理と保護に気をつけよう」と言えるのでしょうか。

「医者の不養生」にならないように、 今まで学んだコンセプトと概念を自分の人生に取り入れる必要があります。

どこから始めればいいかが分からないと思うので、 まずは脅威モデリングを読んでから。

セキュリティ・アーキテクチャ & デザイン

毎日、多くの企業がハッキングされ、何百万ものユーザデータが盗まれ、流出し、売却されたというニュースを耳にしますね。

刻々と変化する脅威と戦うためには、「効果的なセキュリティ対策とは何か?」を理解することが不可欠です。 そのためには、効果的な情報セキュリティ戦略の基本を理解し、 それを実現するために必要なインフラとアプリについて学ぶ必要があります。

勉強計画

  • ネットワーク・コンポーネントのセキュリティ設定と、セキュア・プロトコルについて
  • 安全なネットワーク・アーキテクチャの実装と、一般的なセキュリティ・インシデントのトラブルシューティングについて

(「ネットワークの基礎」を先に勉強する理由が分かりましたか?)

脅威検知とインシデント対応

サイバーセキュリティのリーダーたちは、 どの組織もセキュリティ・インシデントに遭遇することを理解しています。

組織の損害を最小限に抑えるためには、セキュリティ・インシデントを事前に検出し、 対応する方法を理解する必要があります。

勉強計画

  • インシデントを検出する方法
  • セキュリティ・インシデントに対応する際に必要な主な活動
  • インシデントへの対応に直面する前に、今から何を準備すべきか

デジタルフォレンジック

現在のデジタル社会における犯罪解決の核となるのは、 デジタル・フォレンジックに関する徹底的な知識です。

勉強計画

  • デジタル・フォレンジックの様々な分野を知る
  • この分野を取り巻く法律と統治について

セキュリティ管理

データの消失やネットワークへの侵入がどのように行われたかに関わらず、 セキュリティ問題の根本的な原因をたどると、大抵はセキュリティ戦略の非効率的な管理に行き着くのです。

勉強計画

  • 組織内のセキュリティ管理機能をどのように組織化し、確立するか、また、セキュリティ管理に関わるさまざまな役割と責任
  • リスク・マネジメントについて、データ漏洩やネガティブな事象の可能性をどのように低減させるか
  • 事業継続、インシデント対応、災害復旧など、組織のレジリエンスを構成する要素

脆弱性管理

情報システムを安全に保つことは、潜在的な脅威を阻止するために不可欠な継続的なプロセスです。

  • 脆弱性管理のプロセスと、それがどのように情報セキュリティ戦略に組み込まれるか
  • 脆弱性スキャンを定期的に実施することの重要性について
  • 脆弱性修正の優先順位を決定する方法について
  • これらのプロセスを自動化するために利用可能なツールについて

ペネトレーションテスティング

多くの企業が大量の顧客データを作成、収集、管理し、モバイルアプリやウェブ、 IoT デバイスを通じてそのデータにアクセスできるようになるにつれ、 そのデータが悪意のある個人、犯罪グループ、さらには政府によって侵害され、 盗まれる機会も増えています。

組織は、知的財産へのアクセス性を向上させ、その価値を高めると同時に、 不正な露出から知的財産を保護することに苦心しています。

ここ数年のニュースが示すように、これは大きな課題であり、多くの組織が顧客データや自社の知的財産のコントロールを失いました。

ペネトレーション・テストは、組織がネットワークやシステムの弱点を発見し、 他の誰かに発見される前に修正するために使用する技術の1つです。

勉強計画

  • ペネトレーション・テストが、組織の情報セキュリティ管理プログラムの重要な構成要素として、どのように機能しているか
  • ペネトレーションテストのプロセスと、脆弱性の発見と攻略に使用される技術について

脅威モデリング

開発者、経営者やハッカーであろうと、または単に自分自身を守ることに熱心な人であろうと、 どのものをどの脅威からどう守るかを理解しない限り、何も守れません。

脅威モデリングの概要を理解するのは最も重要なことです。

勉強計画

  • 脅威モデリングとは何か、そして、どのような攻撃に対して脆弱なのかを特定するためにどのように利用できるか
  • その情報を使ってどのように身を守るかについて
  • 日々の活動やプロジェクト、環境において、脅威モデリングを試みる際に直面する可能性のある課題について

監査

IT は、現在のビジネス運営に欠かせない要素です。 なぜなら、ビジネスのほぼすべての部分が、テクノロジーとネットワークに依存して運営されているのです。 これは、IT監査機能が重要であることを意味します。

監査人または監査の対象となる被監査者のどちらかの立場から、監査の価値を学ぶ必要があります。

勉強計画

  • 監査計画や監査証拠について
  • 監査報告について、また、監査結果をどのように経営陣に報告するか
  • IS監査の概要と、より効果的な監査人になるための方法、そして継続的な監査をサポートするために必要な知識

セキュリティ・コンプライアンス

セキュリティ・コンプライアンスの要件はかつてないほど増えており、 毎年新しい要件が登場するため、情報を入手し続けることは困難です。

主要なセキュリティ・コンプライアンス要件について、順を追って勉強する必要があります。

勉強計画

  • 各コンプライアンスプログラムの適用範囲
  • それぞれのセキュリティ・コンプライアンス・プログラムの下でどのような義務があるのか
  • コンプライアンス違反がもたらす影響(場合によっては非常に重大な影響を及ぼす可能性がある)について

いかがでしょうか?

ここまで来たら、間違いなくセキュリティが好きでしょう(笑) さらに、好みが分かって「これはもう、二度とやらん!」が分かってきたかもしれません。

すでにお腹いっぱいでしょうが、 おまけに、 MIT 6.858: Computer Systems Security(ザ・マサチューセッツ工科大学のコンピュータ・システム・セキュリティ講義)を推奨します。

MIT のコンピュータ・サイエンスが前提のため、 かなり複雑に思われるかもしれません。

分からなかったらいったん流して、 数年後また見返せればいいと思います。 どのぐらい成長したかが明らかになります。

投稿時の最新版は2022年版 ですが、 若干の差異がある2020年版2014年版も確認してください。

そういえば、セキュリティ業界でカンファレンスと講演はけっこうありますので、 ぜひ確認してください。

日本最大のセキュリティ・イベント CODE BLUE は日本語での講演がもちろん多いです。

これで、きちんとセキュリティの基礎を身につけれます! この知識(と、もしかしたら受かった認定資格)を持って、 転職活動を初めてもいいかもしれません。

次の投稿はよりアドバンスなレベルですが、 基礎を押さえた人向けに、 次のステップである専門化するためのアドバイスをします。