タイトル通り、ここ一年間情報セキュリティを独学で色々と学んでみて
自分が感じたことや、個人的に良いと思った教材を雑多に紹介したいと思います。
勉強を始めた理由は?
面白そうだったから、この1点です
普段から情報セキュリティに関するネットニュースを購読していましたが
それらを読んでいて「○○攻撃ってなんだ??」や「ランサムウェア?マルウェア?ウィルスとはどう違うの??」、「MFAって?有効化するメリットは??」といった知的好奇心が始まりです。
目標の設定
自分の性格上、ただ本を読んだりしていても絶対に継続できないと思ったので
少々高めな目標として、IPAより年2回(春秋)実施されている「情報処理安全確保支援士(以下SC)」の合格を目指すこととしました。
ITパスポートや基本情報は有名ですが、それらの上位試験であり
情報セキュリティに特化した試験です。
具体的に何をしたの?
基本的には書籍によるインプットです。
内容やページ数を問わず、数だけで言えば15冊読みました
以下、試験対策にもなり且つ読み物としても面白いと思った書籍を紹介したいと思います
・暗号技術入門 第3版 秘密の国のアリス
通称:アリス本
情報セキュリティを学ぶ上で暗号化の知識は避けて通れません
その入門書としてベストだと呼び声高いです。
本書の全てを理解することは困難ですが、とっかかりとしては良書です
暗号化(or復号)って具体的に何してんの?という疑問は晴れると思います。
また、暗号技術と数学は切っても切り離せない関係ですが
本書は超が付くほど数学が苦手な自分にとっても面白いと思えるほどには
数学要素が少なめです。多少はありますが解説がとても丁寧です。
・マルウエアの教科書 増補改訂版
タイトル通り、マルウェアに特化した書籍となっております
マルウェアって何?といった初歩的な内容から、昨今のマルウェア情勢、
RaaSといったマルウェアビジネス、リバースエンジニアリングによるマルウェア解析まで広く分かりやすく記述されています。
マルウェア関連は難しそうなイメージがあったが、そんなことは無かった(解析はさすがにムズい)
一口にマルウェアといっても多種多様なモノがあるんだなと実感。
個人的に、書籍内で取り上げてられているマルウェアの検知回避技術や感染の永続化を狙う方法というのが面白かった。
・ハッキング・ラボの作り方(完全版)
ハンズオンその1
読んでばっかりで飽きてきたころ、ハンズオン形式で学べる教材が無いかと探していました
偶然にも、よく通っていた図書館にて本書を発見。
セキュリティ関連の書籍では防御策が多く記述されているイメージですが、本書はその真逆で
脆弱性のあるサーバを仮想環境にて立ち上げ、そのサーバのroot権限をどうにかして奪取する
というのを繰り返していき、攻撃のやり方を学んでいきます。
実際にNmapによるポートスキャンやエクスプロイトの実行などと本格的…
しかし本書、1200ページという圧巻の大ボリューム、ほぼ鈍器です。あと高い(税込み7400円)
図書館で借りられたのはラッキーでしたが
2週間で読み切らなければなりませんでした。しかしおよそ10日で制覇。
それくらい夢中になってやっていました。
・実務で使える メール技術の教科書
今日、Slackなどといったチャットによるコミュニケーションが普及しましたが
未だメールも広く使われており、メールによる脅威も絶えません。
本書ではメールがどう送信されるのかといった、基礎的な知識から
メールセキュリティには欠かせない送信ドメイン認証について分かりやすく解説されています。
・DNSがよくわかる教科書
DNSは名前解決を行うという重要な役割を担っている…
という何となくな知識しか持っていませんでしたが
本書はDNSの仕組みやその動作、レコードの内容とその意味を分かりやすく解説してくれます。
上述したメールの送信ドメイン認証とDNSは密接に関係しているので
どちらかを読んだらもう一方も読むことで、より理解が深まると思います
ただ、本書は細かい仕組みまで記載してくださっており
特にDNSのセキュリティでよく出てくる DNSSEC について本書でも解説してくださってますが
ものすごくややこしく、理解に時間が掛かりました。(これは自分の理解力不足…)
・体系的に学ぶ 安全なWebアプリケーションの作り方(第2版)
ハンズオンその2
これも言わずと知れた名著かと思います。
大抵のWebアプリケーションの脆弱性を体験できます。
実際に体験することで脆弱性の理解が深まったと思います
ただ、ソースコードがPHPで馴染みがなくちょっと難しめに感じたのと
本書籍は2018年発売なので若干古い、という声も上がっています。
・IPAが発行している資料
最後に、書籍ではないですが
IPAが発行している資料には、学習や業務でも利用できる有益なものが揃っています
安全なWebアプリケーションの作り方 や 毎年発行される10大脅威が有名でしょうか
個人的に紹介したいものとしては
中核人材育成プログラム 卒業プロジェクト です
各期生の方々が成果物として作成している資料で
業界でホットな話題を取り上げてくださってます。
AIはもちろん、最近よく聞くSBOMの導入指南などもあります。
やってみた感想
勉強してよかった、心からそう言えると思います
点と点のような断片的だった知識がだんだんと繋がっていき
「あ~だからこうなのね」といった腑に落ちる瞬間は快感です。
また、普段から何気なく使っているインターネットやハード/ソフトには様々なセキュアな仕組みがあり
それらが我々の大事な情報を守ってくれているんだなぁと再認識しました。
試験については一度落ちてしまいましたが、今春試験(R7春)にて合格という目標も達成、やったね。
ただ、合格は目標であり目的ではないため、以降も学習は継続していくつもりです
今後はやはりAIセキュリティでしょうかね。
あと年1でSCも受験する…(多分)
以上、記事のほとんどが書籍の紹介となってしまいましたが
参考になった方がいれば幸いです。
コメント