技術的な背景がない部外者としてサイバーセキュリティ分野に参加したことは、私にとって変革の旅でした。私がこの業界にすぐに魅了されたのは、その容赦ないペースと、常に突きつけられる刺激的な挑戦でした。この分野の専門家と交流する中で、真に学ぶ意欲を示す新人に対する彼らの圧倒的なサポートに心強く感じました。しかし、私はすぐに一般的な感情に気づきました。それは、新参者には独立した自習者であることが一般的に期待されているということです。特にサイバーセキュリティの初心者になる可能性のある人の多くが本質的に独学で学習する人ではないことを考えると、これは気が遠くなるような予想かもしれません。生来の好奇心は間違いなく貴重な特性ですが、多くの人は、たとえ計り知れない可能性を持っている人であっても、この広大な領域に最初の一歩を踏み出すために構造化されたフレームワークを必要としているということを認識することが不可欠です。
ここ数年で、業界の人材不足を埋める上で大きな進歩が見られました。しかし、2023 年の時点で、 ISC2 サイバーセキュリティ労働力調査によると、世界中でサイバーセキュリティ分野で 44 万人の新規雇用が創出されました (前年比 8.7% 増加) が、驚くべき 400 万のポジションが埋まっていないままです (前年比 12.6% 増加)。 。この大きなギャップは、経験豊富な専門家に対する雇用主のニーズと、そのような専門知識の現実世界の不足との間の乖離によって生じています。
この人材不足の解決策は、潜在的なサイバーセキュリティ専門家のキャリアの初期段階、特に若い学生に焦点を当てることにあります。コミュニティとして、実行可能なキャリアの選択肢としてサイバーセキュリティを模索するために必要なツールを若者に提供することが不可欠です。重要なのは、構造化された実践的でアクセスしやすい学習パスを提供することです。以下に、その方法のいくつかの手順と例を示します。
NIST-NICE フレームワークは、サイバーセキュリティの作業を、分析、収集と運用、調査、運用と保守、監督と統治、保護と防御、安全なプロビジョニングの 7 つの高レベルのカテゴリに分類しています。各カテゴリはさらに専門分野と仕事の役割に分類され、キャリアアップのための包括的なロードマップを提供します。
表 1: NICE フレームワークの作業役割カテゴリ
カテゴリー | 説明 | 作業ロールの数 |
---|---|---|
安全にプロビジョニング (SP) | 安全な IT システムを概念化、設計、調達、構築します。システムおよび/またはネットワーク開発の側面を担当します。 | 11 |
運用および保守 (OM) | 効果的かつ効率的な IT システムのパフォーマンスとセキュリティを確保するために必要なサポート、管理、メンテナンスを提供します。 | 7 |
監督と統治 (OV) | 組織がサイバーセキュリティ作業を効果的に実施できるように、リーダーシップ、管理、方向性、または開発と擁護を提供します。 | 14 |
守ると守る (PR) | 内部の IT システムやネットワークに対する脅威を特定、分析、軽減します。 | 4 |
調査する (インド) | IT システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティ イベントまたは犯罪を調査します。 | 3 |
分析(AN) | 入ってくるサイバーセキュリティ情報の高度に専門的なレビューと評価を実行して、インテリジェンスへの有用性を判断します。 | 7 |
収集と運用 (CO) | 特殊な拒否および欺瞞操作と、インテリジェンスの開発に使用される可能性のあるサイバーセキュリティ情報の収集を提供します。 | 6 |
この表は、サイバーセキュリティ環境における幅広い役割を示しています。これらのカテゴリーを理解することで、初心者はより適切に調整され、情報に基づいたキャリアの軌道に向けて適切に位置を決めることができます。
NIST-NICE フレームワークを包括的に理解し、初心者向けに調整された無数のリソースにアクセスするには、次のサイトにアクセスしてください。
目標は、サイバーセキュリティのさまざまな側面を調査し、情熱と熟練度がどこで交差するかを判断することです。サイバーセキュリティは動的な分野であるため、個人が方向転換し、学習し、進化する余地が常にあります。
サイバーセキュリティ コミュニティは、新規参入者を非常にサポートします。経験豊富な専門家であっても、ヒントやアドバイスを喜んで共有してくれることが多く、初心者にとっても信じられないほど親しみやすいものです。こうした人々に出会う秘訣は、ライブイベントに参加することです。
対面イベントでのリアルタイムのやり取りにより、自発的な質問やディスカッションが生まれ、より深い理解が得られます。それは単に知識を吸収することではありません。それはネットワーキングにも関係します。これらの場は、有意義なつながりを確立するための絶好の機会であり、メンターシップ、就職斡旋、さらには共同プロジェクトにつながる可能性があります。さらに、このような集会の多くには、専門家の指導の下、参加者が理論を実践できるライブチャレンジや実践的なワークショップが用意されています。
サイバーセキュリティ愛好家にとって、対面イベントに参加することが非常に有益である理由は次のとおりです。
会場に関しては、いくつかのプラットフォームや組織が際立っています。
参加を計画している場合は、次のヒントを参考にしてください。
したがって、サイバーセキュリティの知識とネットワークを深めることを目指している場合、このようなイベントに参加することは、次の大きなチャンスへの足がかりになる可能性があります。
Capture The Flag (CTF) チャレンジは、参加者が暗号化から Web アプリケーションの脆弱性に至るまで、サイバーセキュリティのパズルを解くコンテストです。これらの課題は、初心者に現実世界のサイバーセキュリティ問題を解決する実践的な体験を提供します。たとえば、DEF CON CTF イベントには毎年世界中の聴衆が集まり、あらゆるスキル レベルに適したパズルが用意されています。
CTF の課題への取り組みは、NIST-NICE フレームワークで概説されているいくつかの領域と直接相関しています。
分析 (AN): CTF の暗号パズルを解読すると、入ってくるサイバーセキュリティ情報を評価する分析カテゴリに関連するスキルが向上します。
保護と防御 (PR): CTF 中に脆弱性に対処すると、保護と防御のカテゴリと密接に連携して、IT システムに対する脅威を特定、分析、軽減する参加者の能力が強化されます。
Investigate (IN): 一部の CTF には、IT システムに関連するサイバーセキュリティ イベントや犯罪を調査する Investigate カテゴリに沿った法医学的課題が含まれています。
安全なプロビジョニング (SP): 参加者がシステムを保護または強化する必要がある課題への取り組みは、安全なプロビジョニング カテゴリを反映しており、安全な IT システムの設計と作成に重点を置いています。
CTF に没頭することで、初心者は貴重な実践経験を得ることができるだけでなく、NICE フレームワークに従って興味を持つ可能性のあるさまざまな役割や分野についてより深く理解することができます。これは、特定のサイバーセキュリティ能力を探求し深化させるための具体的で魅力的な方法を提供します。
バグ報奨金キャンペーンでは、企業は倫理的なハッカーにシステム内の脆弱性を見つけて報告するよう奨励します。この慣行は、大手テクノロジー企業の間でますます普及しており、独立したセキュリティ研究者の世界規模のプールの価値が認識されています。たとえば、Google、Facebook、Apple、Microsoft、Twitter などの大手テクノロジー企業はいずれも独自のバグ報奨金プログラムを展開し、倫理的なハッカーにプラットフォーム内の潜在的なセキュリティ上の欠陥を特定し、責任を持って開示するよう奨励しています。これらのキャンペーンを提供することで、これらの組織はシステムのセキュリティを強化するだけでなく、サイバーセキュリティ コミュニティとの共生関係を促進します。例えば:
Bugcrowd、Hackerone、Intigrity などのプラットフォームもプロセスを合理化し、倫理的なハッカーと組織 (Google や Apple のような独立したプログラムを持たない組織も含む) を結び付ける仲介者として機能します。脆弱性が特定され、これらのプラットフォームを通じて、または確立されたプログラムを持つ企業に直接報告されると、検証プロセスが行われます。検証された場合、研究者は金銭的報酬、表彰、またはその両方を受け取ることができます。
初心者向けに、Web ブラウザベースのラボがあります。これらのラボでは、ユーザーはブラウザ内の制御された環境で直接練習できます。これらのプラットフォームは便利で簡単にアクセスできますが、現実世界のシステムの複雑さと複雑さを完全には再現していない可能性があります。これらは優れた入門ツールですが、ユーザーがサイバーセキュリティへの取り組みを進めるにつれて、難しさを感じなくなる可能性があります。
一方で、VPN アクセスを必要とする仮想化環境もあります。これらのプラットフォームは、実際の企業インフラとほぼ同じ環境を提供します。仮想化シナリオは、現実世界のネットワーク、サーバー、ワークステーションをエミュレートするために細心の注意を払って作成されています。ユーザーが VPN 経由で接続すると、実際に運用ネットワーク内にいるかのように感じられ、Web ブラウザベースのラボにはないレベルの信頼性が提供されます。このタイプの環境では、ツール、戦術、手順をより深く探索することができ、参加者が本物のサイバーセキュリティの脅威に対処できるように効果的にトレーニングできます。これらの環境での厳しいトレーニングにより、参加者は就職準備が整い、サイバーセキュリティのキャリアで直面する可能性のある多面的な課題に対処するための十分な準備が整っています。
両方のタイプのトレーニングを経験することで、受験者はサイバーセキュリティの課題における複雑さの段階を理解し、有能な専門家になるためにスキルをさらに磨くことができます。
以下は、初心者向けの無料または手頃な価格の実践的なサイバーセキュリティ トレーニング リソースのリストです。
上記のリソースは、サイバーセキュリティ コミュニティ内で注目と評価を集めている多くのツールやプラットフォームのスナップショットにすぎません。サイバーセキュリティ トレーニングの領域は広大で、貴重なリソースのリストはここで提供されているものをはるかに超えています。さらに、オンラインで利用できるオープンソース プロジェクトやその他のコンテンツが多数あり、学習の質を高めるのに役立ちます。
次の段落で詳しく説明する専門のフォーラムや Web サイトは、他のコミュニティ メンバーからのレビューやフィードバックを見つけるのに非常に役立ちます。このフィードバックにより、継続的にリリースされる新しいリソースの品質に関する洞察が得られます。
サイバーセキュリティの広大な領域では、経験豊富な人からの指導が大きな違いを生む可能性があります。 LinkedIn のようなプラットフォームは、ネットワーキングだけでなく、潜在的な指導者を特定するのにも特に有益です。プロフィールを注意深く確認し、関連するグループに参加し、ディスカッションに積極的に参加することで、あなたの熱意をアピールし、新人を指導する意欲のある経験豊富な専門家の注目を集めることができます。
Discord は、当初ゲーマー向けに作成されたプラットフォームですが、現在ではさまざまなプロフェッショナル コミュニティのハブとして急成長しています。
専門のフォーラムと Web サイトは、その機会をさらに拡大します。
Reddit のサイバーセキュリティ コミュニティ: のようなプラットフォーム
Wilders セキュリティ フォーラム: オンライン プライバシー、セキュリティ、データ保護に関するディスカッションを深く掘り下げます。
MalwareTips および Antionline フォーラム: のような Web サイト
Bleeping Computer および Spiceworks コミュニティ: などのフォーラム
Hacklido: ユニークなプラットフォーム、
これらのフォーラムやコミュニティに積極的に参加することで、知識を広げるだけでなく、有意義なつながりを築くことができます。参加して貢献すると、あなたの情熱と献身を認めてくれる潜在的なメンターに出会う可能性が大幅に高まります。サイバーセキュリティのメンターシップは単にコツを学ぶだけではないことを忘れないでください。それは、ガイダンス、フィードバック、そして急速に進化するデジタル保護の世界の微妙な違いを理解することです。
サイバーセキュリティへの取り組みを始める際には、利用可能な多数の無料ツールに慣れることが重要です。これらのツールは、その分野の専門家によって広く認識され、利用されており、学習体験を大幅に向上させることができます。
ワイヤーシャーク:
OWASP ZAP (Zed 攻撃プロキシ):
Metasploit コミュニティ エディション:
鼻息:
OpenVAS (オープン脆弱性評価システム):
カリ・リナックス:
これらのツールの機能を活用することで、初心者はさまざまなサイバーセキュリティ領域を実践的に理解できるだけでなく、潜在的な脅威と戦うための実践的なアプローチも提供されます。各ツールには豊富な知識やベスト プラクティスが含まれていることが多いため、各ツールの関連ドキュメントやチュートリアルを忘れずに参照してください。
自分で点と点を結びつける独学学習者もいますが、膨大な数の新進気鋭の才能がまだサイバーセキュリティ エコシステムに加わっていないのは、主に初期のガイダンスが欠けているためです。的を絞った実践的なガイダンスを提供することで、この急速に進化する分野が提供する課題と機会に取り組む準備ができている新世代のサイバーセキュリティ専門家への道を切り開くことができます。
構造化された学習はさまざまな方法で実現できます。このガイドは、本物のハッカーから学ぶユニークな機会を得た、従来とは異なるサイバーセキュリティ専門家による、別の視点を提供することを目的としています。