13,619 測定値

あなたは一人で学んでいるわけではありません: サイバーセキュリティ初心者のための構造化ガイド

に Davide Carmeci12m2023/11/11

長すぎる; 読むには

初心者向けの実践的なトレーニング、メンターシップの重要性、無料ツールのリストを網羅した総合的なサイバーセキュリティガイドを詳しく見てみましょう。初めての方でも、進歩している方でも、このガイドを読めば、進化するデジタルセキュリティ環境に十分対応できるようになります。

featured image - あなたは一人で学んでいるわけではありません: サイバーセキュリティ初心者のための構造化ガイド

技術的な背景がない部外者としてサイバーセキュリティ分野に参加したことは、私にとって変革の旅でした。私がこの業界にすぐに魅了されたのは、その容赦ないペースと、常に突きつけられる刺激的な挑戦でした。この分野の専門家と交流する中で、真に学ぶ意欲を示す新人に対する彼らの圧倒的なサポートに心強く感じました。しかし、私はすぐに一般的な感情に気づきました。それは、新参者には独立した自習者であることが一般的に期待されているということです。特にサイバーセキュリティの初心者になる可能性のある人の多くが本質的に独学で学習する人ではないことを考えると、これは気が遠くなるような予想かもしれません。生来の好奇心は間違いなく貴重な特性ですが、多くの人は、たとえ計り知れない可能性を持っている人であっても、この広大な領域に最初の一歩を踏み出すために構造化されたフレームワークを必要としているということを認識することが不可欠です。

ここ数年で、業界の人材不足を埋める上で大きな進歩が見られました。しかし、2023 年の時点で、 ISC2 サイバーセキュリティ労働力調査によると、世界中でサイバーセキュリティ分野で 44 万人の新規雇用が創出されました (前年比 8.7% 増加) が、驚くべき 400 万のポジションが埋まっていないままです (前年比 12.6% 増加)。。この大きなギャップは、経験豊富な専門家に対する雇用主のニーズと、そのような専門知識の現実世界の不足との間の乖離によって生じています。

この人材不足の解決策は、潜在的なサイバーセキュリティ専門家のキャリアの初期段階、特に若い学生に焦点を当てることにあります。コミュニティとして、実行可能なキャリアの選択肢としてサイバーセキュリティを模索するために必要なツールを若者に提供することが不可欠です。重要なのは、構造化された実践的でアクセスしやすい学習パスを提供することです。以下に、その方法のいくつかの手順と例を示します。

NIST-NICEのような学習フレームワーク

NIST-NICE フレームワークは、サイバーセキュリティの作業を、分析、収集と運用、調査、運用と保守、監督と統治、保護と防御、安全なプロビジョニングの 7 つの高レベルのカテゴリに分類しています。各カテゴリはさらに専門分野と仕事の役割に分類され、キャリアアップのための包括的なロードマップを提供します。

表 1: NICE フレームワークの作業役割カテゴリ

カテゴリー	説明	作業ロールの数
安全にプロビジョニング (SP)	安全な IT システムを概念化、設計、調達、構築します。システムおよび/またはネットワーク開発の側面を担当します。	11
運用および保守 (OM)	効果的かつ効率的な IT システムのパフォーマンスとセキュリティを確保するために必要なサポート、管理、メンテナンスを提供します。	7
監督と統治 (OV)	組織がサイバーセキュリティ作業を効果的に実施できるように、リーダーシップ、管理、方向性、または開発と擁護を提供します。	14
守ると守る (PR)	内部の IT システムやネットワークに対する脅威を特定、分析、軽減します。	4
調査する (インド)	IT システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティイベントまたは犯罪を調査します。	3
分析(AN)	入ってくるサイバーセキュリティ情報の高度に専門的なレビューと評価を実行して、インテリジェンスへの有用性を判断します。	7
収集と運用 (CO)	特殊な拒否および欺瞞操作と、インテリジェンスの開発に使用される可能性のあるサイバーセキュリティ情報の収集を提供します。	6

この表は、サイバーセキュリティ環境における幅広い役割を示しています。これらのカテゴリーを理解することで、初心者はより適切に調整され、情報に基づいたキャリアの軌道に向けて適切に位置を決めることができます。

NIST-NICE フレームワークを包括的に理解し、初心者向けに調整された無数のリソースにアクセスするには、次のサイトにアクセスしてください。 NICE の入門リソースセンター。

目標は、サイバーセキュリティのさまざまな側面を調査し、情熱と熟練度がどこで交差するかを判断することです。サイバーセキュリティは動的な分野であるため、個人が方向転換し、学習し、進化する余地が常にあります。

本物のハッカーと友達になろう

サイバーセキュリティコミュニティは、新規参入者を非常にサポートします。経験豊富な専門家であっても、ヒントやアドバイスを喜んで共有してくれることが多く、初心者にとっても信じられないほど親しみやすいものです。こうした人々に出会う秘訣は、ライブイベントに参加することです。

対面イベントでのリアルタイムのやり取りにより、自発的な質問やディスカッションが生まれ、より深い理解が得られます。それは単に知識を吸収することではありません。それはネットワーキングにも関係します。これらの場は、有意義なつながりを確立するための絶好の機会であり、メンターシップ、就職斡旋、さらには共同プロジェクトにつながる可能性があります。さらに、このような集会の多くには、専門家の指導の下、参加者が理論を実践できるライブチャレンジや実践的なワークショップが用意されています。

サイバーセキュリティ愛好家にとって、対面イベントに参加することが非常に有益である理由は次のとおりです。

スキルのデモンストレーション:課題やワークショップに直接参加し、リアルタイムでスキルを磨きます。
常に最新情報を入手:サイバーセキュリティは常に進化しています。まだ広範なオンラインコミュニティには届いていないかもしれない、新鮮で最先端のディスカッションに参加しましょう。
精神的サポート:経験や課題を仲間と共有します。他の人が同じような課題に直面していることを知ると慰められ、やる気が湧きます。

会場に関しては、いくつかのプラットフォームや組織が際立っています。

OWASP (Open Web Application Security Project): Web の脆弱性に関する洞察で有名で、その世界支部は定期的に会議やワークショップを開催しています。
Bsides : これらのコミュニティ主導のイベントは、ディスカッションや学習のための、より居心地の良い、より親密な環境を提供します。
DEF CON : ハッカーコンベンションの 1 つで、ハッキングとサイバーセキュリティを深く知りたい人にとっては素晴らしい場所です。

参加を計画している場合は、次のヒントを参考にしてください。

積極的に参加する:単に受動的な参加者になってはいけません。参加し、質問し、話し合ってください。
準備:イベントのスケジュールを確認し、興味のあるセッションをメモし、講演者を調べます。
フォローアップ:興味深い人とつながりましたか?イベント後に感謝の言葉や簡単なメッセージを送りましょう。それは価値ある関係の始まりかもしれません。

したがって、サイバーセキュリティの知識とネットワークを深めることを目指している場合、このようなイベントに参加することは、次の大きなチャンスへの足がかりになる可能性があります。

CTF チャレンジやハッカソンに参加する

Capture The Flag (CTF) チャレンジは、参加者が暗号化から Web アプリケーションの脆弱性に至るまで、サイバーセキュリティのパズルを解くコンテストです。これらの課題は、初心者に現実世界のサイバーセキュリティ問題を解決する実践的な体験を提供します。たとえば、DEF CON CTF イベントには毎年世界中の聴衆が集まり、あらゆるスキルレベルに適したパズルが用意されています。

CTF の課題への取り組みは、NIST-NICE フレームワークで概説されているいくつかの領域と直接相関しています。

分析 (AN): CTF の暗号パズルを解読すると、入ってくるサイバーセキュリティ情報を評価する分析カテゴリに関連するスキルが向上します。
保護と防御 (PR): CTF 中に脆弱性に対処すると、保護と防御のカテゴリと密接に連携して、IT システムに対する脅威を特定、分析、軽減する参加者の能力が強化されます。
Investigate (IN): 一部の CTF には、IT システムに関連するサイバーセキュリティイベントや犯罪を調査する Investigate カテゴリに沿った法医学的課題が含まれています。
安全なプロビジョニング (SP): 参加者がシステムを保護または強化する必要がある課題への取り組みは、安全なプロビジョニングカテゴリを反映しており、安全な IT システムの設計と作成に重点を置いています。

CTF に没頭することで、初心者は貴重な実践経験を得ることができるだけでなく、NICE フレームワークに従って興味を持つ可能性のあるさまざまな役割や分野についてより深く理解することができます。これは、特定のサイバーセキュリティ能力を探求し深化させるための具体的で魅力的な方法を提供します。

バグ報奨金キャンペーンに参加する

バグ報奨金キャンペーンでは、企業は倫理的なハッカーにシステム内の脆弱性を見つけて報告するよう奨励します。この慣行は、大手テクノロジー企業の間でますます普及しており、独立したセキュリティ研究者の世界規模のプールの価値が認識されています。たとえば、Google、Facebook、Apple、Microsoft、Twitter などの大手テクノロジー企業はいずれも独自のバグ報奨金プログラムを展開し、倫理的なハッカーにプラットフォーム内の潜在的なセキュリティ上の欠陥を特定し、責任を持って開示するよう奨励しています。これらのキャンペーンを提供することで、これらの組織はシステムのセキュリティを強化するだけでなく、サイバーセキュリティコミュニティとの共生関係を促進します。例えば：

Google の脆弱性報奨プログラム (VRP) は、Google の製品やサービスのセキュリティの脆弱性を発見した研究者に報奨金を与えます。報酬額は、欠陥の重大度と影響を受ける製品に応じて、100 ドルから 30,000 ドル以上までの範囲になります。例外的に、さらに高額な報酬が与えられる場合もあります。 Google の VRP は、Google Chrome、Android、Google Cloud Platform などの製品のセキュリティを確保するのに役立ちました。
Apple のセキュリティ報奨金プログラムは、iOS、macOS、およびその他の Apple ソフトウェア全体の脆弱性を発見するためにセキュリティ研究者を招待します。報酬は非常に高額になる可能性があり、最も重要な問題に対する報酬は最大 100 万ドルに達します。これは、ユーザーのプライバシーとセキュリティに対する Apple の取り組みを反映しています。

Bugcrowd、Hackerone、Intigrity などのプラットフォームもプロセスを合理化し、倫理的なハッカーと組織 (Google や Apple のような独立したプログラムを持たない組織も含む) を結び付ける仲介者として機能します。脆弱性が特定され、これらのプラットフォームを通じて、または確立されたプログラムを持つ企業に直接報告されると、検証プロセスが行われます。検証された場合、研究者は金銭的報酬、表彰、またはその両方を受け取ることができます。

実践的なトレーニングに重点を置く

初心者向けに、Web ブラウザベースのラボがあります。これらのラボでは、ユーザーはブラウザ内の制御された環境で直接練習できます。これらのプラットフォームは便利で簡単にアクセスできますが、現実世界のシステムの複雑さと複雑さを完全には再現していない可能性があります。これらは優れた入門ツールですが、ユーザーがサイバーセキュリティへの取り組みを進めるにつれて、難しさを感じなくなる可能性があります。

一方で、VPN アクセスを必要とする仮想化環境もあります。これらのプラットフォームは、実際の企業インフラとほぼ同じ環境を提供します。仮想化シナリオは、現実世界のネットワーク、サーバー、ワークステーションをエミュレートするために細心の注意を払って作成されています。ユーザーが VPN 経由で接続すると、実際に運用ネットワーク内にいるかのように感じられ、Web ブラウザベースのラボにはないレベルの信頼性が提供されます。このタイプの環境では、ツール、戦術、手順をより深く探索することができ、参加者が本物のサイバーセキュリティの脅威に対処できるように効果的にトレーニングできます。これらの環境での厳しいトレーニングにより、参加者は就職準備が整い、サイバーセキュリティのキャリアで直面する可能性のある多面的な課題に対処するための十分な準備が整っています。

両方のタイプのトレーニングを経験することで、受験者はサイバーセキュリティの課題における複雑さの段階を理解し、有能な専門家になるためにスキルをさらに磨くことができます。

以下は、初心者向けの無料または手頃な価格の実践的なサイバーセキュリティトレーニングリソースのリストです。

ワイヤー越し: セキュリティの原則を基礎から高度な概念まで教えることを目的とした一連の戦争ゲームを提供します。これは、Linux コマンドと簡単な侵入テスト手法を学びたい初心者にとって、優れた出発点です。
ルートミー: このプラットフォームは、ユーザーがハッキングスキルを向上させるのに役立つ、さまざまなドメインにわたる 300 以上のチャレンジを提供します。ネットワークセキュリティ、Web アプリケーションセキュリティなどについて学ぶための実践的なアプローチを提供します。
ポートスウィガーアカデミー: Burp Suite の作成者によって開発されたこのアカデミーでは、無料の実践的な Web セキュリティトレーニングを提供しています。基本的な Web 脆弱性から高度な Web 脆弱性まで、幅広いトピックをカバーしています。
PWNX.io : 本物のサイバーセキュリティシナリオをエミュレートする、VPN ベースの実世界のトレーニング体験と組み合わせた初心者向けのコースを提供します。
PWN.カレッジ: 主に学生がサイバーセキュリティについて学ぶために設計されたプラットフォーム。さまざまなスキルレベルに合わせた教育モジュールを提供します。
TryHackMe : 実践的な仮想ラボを通じてサイバーセキュリティの学習を支援するオンラインプラットフォーム。そのゲーム化された課題は、非常に基本的なものからより高度なものまで多岐にわたり、あらゆるスキルレベルのユーザーに対応します。
ボックスをハックする:さまざまなサイバーセキュリティラボとチャレンジを提供するプラットフォーム。あらゆるスキルレベルのユーザーに対応していますが、一部の課題は非常に高度なものになるため、基本を超えて進歩したい人にとっては理想的です。
TCM セキュリティ: TCM Security は、侵入テスト、セキュリティトレーニング、コンプライアンスなどのトピックをカバーする、自分のペースで進められるサイバーセキュリティコースを提供しています。さらに、業界での評判が高まっている認定も提供しています。

上記のリソースは、サイバーセキュリティコミュニティ内で注目と評価を集めている多くのツールやプラットフォームのスナップショットにすぎません。サイバーセキュリティトレーニングの領域は広大で、貴重なリソースのリストはここで提供されているものをはるかに超えています。さらに、オンラインで利用できるオープンソースプロジェクトやその他のコンテンツが多数あり、学習の質を高めるのに役立ちます。

次の段落で詳しく説明する専門のフォーラムや Web サイトは、他のコミュニティメンバーからのレビューやフィードバックを見つけるのに非常に役立ちます。このフィードバックにより、継続的にリリースされる新しいリソースの品質に関する洞察が得られます。

ソーシャルメディアとフォーラムを活用してメンターを見つける

サイバーセキュリティの広大な領域では、経験豊富な人からの指導が大きな違いを生む可能性があります。 LinkedIn のようなプラットフォームは、ネットワーキングだけでなく、潜在的な指導者を特定するのにも特に有益です。プロフィールを注意深く確認し、関連するグループに参加し、ディスカッションに積極的に参加することで、あなたの熱意をアピールし、新人を指導する意欲のある経験豊富な専門家の注目を集めることができます。

Discord は、当初ゲーマー向けに作成されたプラットフォームですが、現在ではさまざまなプロフェッショナルコミュニティのハブとして急成長しています。

専門のフォーラムと Web サイトは、その機会をさらに拡大します。

Reddit のサイバーセキュリティコミュニティ: のようなプラットフォーム Redditのサイバーセキュリティそしてネットセックサブレディットには、最新のセキュリティ傾向、課題、解決策について議論する専門家や愛好家がたくさんいます。のネットセックの学生subreddit は特に学生や初心者向けに設計されており、質問や指導のための育成スペースを育んでいます。
Wilders セキュリティフォーラム: オンラインプライバシー、セキュリティ、データ保護に関するディスカッションを深く掘り下げます。ワイルダーズセキュリティフォーラム。膨大な範囲のスレッドと投稿は専用のコミュニティを意味し、サイバーセキュリティ関連のすべてのトピックにとって貴重なリソースとなっています。
MalwareTips および Antionline フォーラム: のような Web サイトマルウェアのヒントそしてアンチラインは、マルウェアの脅威からネットワークの安全性まで、セキュリティのさまざまな側面について徹底的な議論に参加できる活気のあるコミュニティです。
Bleeping Computer および Spiceworks コミュニティ: などのフォーラムピーピーコンピュータそしてその Spiceworks セキュリティフォーラムファイアウォールや VPN からパスワードマネージャーやマルウェア攻撃に至るまで、包括的なセキュリティ関連の議論に特化しています。
Hacklido: ユニークなプラットフォーム、ハクレイドここは、最も優秀なハッカーが集まり、知識、経験、ガイダンスを共有する場所です。これは、実践的な洞察と実際の例の豊富な情報源です。

これらのフォーラムやコミュニティに積極的に参加することで、知識を広げるだけでなく、有意義なつながりを築くことができます。参加して貢献すると、あなたの情熱と献身を認めてくれる潜在的なメンターに出会う可能性が大幅に高まります。サイバーセキュリティのメンターシップは単にコツを学ぶだけではないことを忘れないでください。それは、ガイダンス、フィードバック、そして急速に進化するデジタル保護の世界の微妙な違いを理解することです。

無料ツールを活用する

サイバーセキュリティへの取り組みを始める際には、利用可能な多数の無料ツールに慣れることが重要です。これらのツールは、その分野の専門家によって広く認識され、利用されており、学習体験を大幅に向上させることができます。

ワイヤーシャーク:
- 説明:オープンソースのパケットアナライザーである Wireshark を使用すると、ユーザーはネットワーク上で何が起こっているかを顕微鏡レベルで確認できます。これは、ネットワークのトラブルシューティング、分析、ソフトウェア、通信プロトコルの開発、教育に広く使用されています。
- リソース:このツールにはさまざまな機能が付属しています。公式ドキュメントとガイド初心者がその機能を理解できるようにします。
OWASP ZAP (Zed 攻撃プロキシ):
- 説明: OWASP (Open Web Application Security Project) によって開発された ZAP は、無料のオープンソース Web アプリケーションセキュリティスキャナーです。これは、Web アプリケーションの開発およびテスト中に、そのアプリケーションのセキュリティの脆弱性を見つけるのに役立ちます。
- リソース:新規ユーザーはツールの恩恵を受けることができます。公式ドキュメントコミュニティ提供のさまざまなガイド。
Metasploit コミュニティエディション:
- 説明: Metasploit プロジェクトの一部であるこのエディションは、脆弱性の検証とセキュリティ評価の管理に役立つ無料の侵入テストツールです。脆弱性の発見、分析、悪用に役立ちます。
- リソース: Metasploit は、豊富なリソースを提供します。チュートリアルとユーザーガイドさまざまな機能に。
鼻息:
- 説明:オープンソースのネットワーク侵入防止システム (NIPS) および侵入検知システム (IDS) として、Snort はリアルタイムのトラフィック分析とパケットログの実行に優れています。
- リソース:初心者は、広範なドキュメントとユーザーのコミュニティを見つけることができます。スノート公式サイト。
OpenVAS (オープン脆弱性評価システム):
- 説明: OpenVAS は、多数のテストが付属し、最新の脆弱性に対する更新を提供する、フル機能の脆弱性スキャナーです。システムやアプリケーションの問題を特定するのに役立ちます。
- リソース: OpenVAS コミュニティは、包括的なドキュメントセット新しいユーザーがツールの機能を理解し、最大限に活用できるようにサポートします。
カリ・リナックス:
- 説明: Kali Linux は、高度な侵入テストとセキュリティ監査を目的とした Debian ベースの Linux ディストリビューションです。何百もの統合セキュリティツールがプリインストールされており、サイバーセキュリティコミュニティの定番となっています。
- リソース: Kali を初めて使用する人のために、公式ドキュメントインストールから膨大なツールの利用に至るまで、包括的なガイダンスを提供します。

これらのツールの機能を活用することで、初心者はさまざまなサイバーセキュリティ領域を実践的に理解できるだけでなく、潜在的な脅威と戦うための実践的なアプローチも提供されます。各ツールには豊富な知識やベストプラクティスが含まれていることが多いため、各ツールの関連ドキュメントやチュートリアルを忘れずに参照してください。

未開発の可能性と指導の必要性

自分で点と点を結びつける独学学習者もいますが、膨大な数の新進気鋭の才能がまだサイバーセキュリティエコシステムに加わっていないのは、主に初期のガイダンスが欠けているためです。的を絞った実践的なガイダンスを提供することで、この急速に進化する分野が提供する課題と機会に取り組む準備ができている新世代のサイバーセキュリティ専門家への道を切り開くことができます。

構造化された学習はさまざまな方法で実現できます。このガイドは、本物のハッカーから学ぶユニークな機会を得た、従来とは異なるサイバーセキュリティ専門家による、別の視点を提供することを目的としています。