初心者が学ぶべき全体像について - Cyber Security Roadmap
初心者が学ぶべき全体像について
ここでいう全体像とは、サイバーセキュリティの学ぶべき分野の構成のことを指しています。
個人的に勉強の方法は万能の方法はなく、個人に適したやり方があると思っています。
ただ、どんな分野があり、自分が何に興味があるか知ることは共通であるはずです。
資格勉強とかも、どんな分野が出題され、どの分野が重要度が高いかを確認したりしますよね。
全体像を掴むことで、学ぶべきことの計画が生まれるはずです。
サイバーセキュリティで学ぶべき分野の構成
本題です。
ここでは、大きく 「技術」 「倫理」 「法律」 と分けました。
もしかしたら「論理や法律も必要なの?」となるかもしれません。
結論から言うと必要があると、自分の意見として述べます。
というのも、セキュリティを学ぶと、セキュリティを破ることも可能になってきます。
そして、現代においてシステムやネットワークのセキュリティを破る力は強大なものがあります。
なので法律やそれに紐づく罰則がありますし、そうなる以前に倫理観の問題もあります。
きっと、大いなる力には大いなる責任が伴うはずです。
1. 技術
| 分類 | スキルカテゴリ | 内容 |
|---|---|---|
| 共通スキル | 基礎的なITスキル | ネットワーク、OS、Web、プログラミング、暗号化、データベース |
| 専門スキル | 攻撃的セキュリティ | ペネトレーションテスト、脆弱性診断、レッドチーム演習 |
| 防御的セキュリティ | セキュリティ設計、SOC/CSIRT運用、インシデント対応 |
上記の表は、技術を大きくわけたものです。
どの専門スキルを選ぶにしても必要なスキルとして共通スキルを記載しました。
共通スキルが「なんとなくわかる」レベルの理解度だと、専門スキルの習得が辛いことがあります。
ネットワークやOSといった低レイヤーの知識がなくても、アプリケーション開発で食っていくことはできるので割と知識が表面的になりがちな気がします。
ただ、専門スキルでは、根本的な技術理解が求められる場面が多く、
表面的な知識では対応できないことがほとんどです。
そのため、まずは基礎をしっかり固め、段階的に応用分野に進むことをおすすめします。
2. 倫理
技術を身につけた後は、それを悪用しない高い倫理観が強く求められます。
この点が、いわゆるクラッカー(悪意ある攻撃者)とハッカー(健全な技術者) を分ける分岐点です。
if has_ethics {
"ハッカー(健全な技術者)"
} else {
"クラッカー(悪意ある攻撃者)"
}
高い倫理を持つことで、自分のスキルを社会のために活かすことができます。
そのためにも、情報倫理に関するガイドラインを学び、健全なマインドセットを整える必要があります。
具体的には、「EthicsfIRST ガイドライン」のような教材を活用していきます。
3. 法律
サイバーセキュリティ分野では、法律に関する正しい知識も不可欠です。
技術力が高まるほど、その使い方によっては法的リスクを伴う場面が増えていきます。
- 刑法:不正アクセス禁止法やコンピュータウイルス作成罪など。
- サイバーセキュリティ基本法:国家レベルで定められたサイバーセキュリティに関する基本方針。
- 著作権法:ツールやソフトウェア、コードの利用・配布に関わる法的制限。
法律を知らずに行った行為が、不正アクセスや著作権侵害に該当し、思わぬ罰則を受けるリスクがあります。
法律は「知らなかった」では済まされない世界だと思います。
技術を活用し、社会に貢献するためにも、まずは基礎的な法律を正しく理解していきます。
学びの進め方
本音を言うと技術への興味が優先し、倫理や法律より技術を先に身につけたい欲があります。
とはいえ、倫理や法律は必修。
そのため、技術への興味が優先されがちな人が、学びを進める際には以下のアプローチをおすすめします。
-
技術はローカル環境や安全なラボ環境で実践する
- TryHackMe や Hack The Box など、ハッキング体験ができる安全なプラットフォームを活用しましょう。
- 実環境への無断アクセスなど、違法行為は絶対に避けるべきです。
-
応用的な技術を習得した段階で、倫理や法的知識を体系的に学ぶ
- 自分の行動が法的に問題ないか、倫理的に正しいかを判断できる知識を身につけましょう。
-
倫理観と法的知識を備えたうえで、社会に貢献する形で技術を活用する
- セキュリティの専門家として、リスクを正しく評価し、安心・安全な社会づくりに貢献できる行動を心がけましょう。
ハッキングの体験学習ができるサイト一覧
ハッキングやセキュリティのスキルは、座学だけでなく実際に手を動かして学ぶことが非常に重要です。
いわゆるハッカー体験を積むことで、攻撃者の視点を察知することができ、脆弱な部分に気づく力を養うことができます。
以下のような体験学習サイトを活用すれば、安全な環境でスキルを磨くことができます。
僕は特にTryHackMe、Hack The Box、VulnHub を利用していますが、
TryHackMe が最も使いやすいと感じています。
コンテンツは主に英語ですが、解説記事や攻略ガイドも豊富に公開されているため、
学習を進めやすい環境が整っています。
また、書籍で学習したい場合は、野溝のみぞうさんの『7日間でハッキングをはじめる本』 も非常にわかりやすく、TryHackMe を活用した実践的な内容になっているためおすすめです。
| サイト名 | 特徴・内容 | 無料/有料 |
|---|---|---|
| TryHackMe | シナリオベース、初心者〜中級者向け | 一部無料 |
| Hack The Box | 実戦的なマシンが豊富、中級者以上向け | 一部無料 |
| VulnHub | 仮想マシンイメージを提供、自習向け | 無料 |
| OverTheWire | テキストベースのCTF風問題集 | 無料 |
| picoCTF | 初心者向け常設CTFイベント | 無料 |
| Root Me | 幅広い分野のチャレンジ問題を提供 | 一部無料 |
| HackThisSite | Webハッキング特化の古参プラットフォーム | 無料 |
| PortSwigger Labs | Web脆弱性(OWASP系)学習に最適 | 無料 |
| CTFtime | 世界中のCTFイベント情報・スケジュール | 無料 |
| Microcorruption | 組み込みシステム向けCTF(バイナリ解析) | 無料 |
Discussion