Risks and Incidents

サイバー、フィジカル空間のインシデント、セキュリティ情報についてまとめています。その他、情報系の学習記録など。

0~のサイバー系学習方法 その1

こんばんは

最近記事を全く更新できておらず、というかそのためのリサーチが出来ていないだけなのですが…

非常に心苦しいですがこのままフェイドアウトするのも何なんで、最近している勉強について、思いつくまま書いています。

 

 

 

勉強する目標

全般的には、サイバーセキュリティの勉強をしています。最終的にはOSINTによるサイバーインテリジェンスや情勢分析を出来るようになりたく(もともと社会科学系の方の分野でそれに近い業務を自社でしていたのですが)、そのためのサイバー攻撃の理解とツールの操作の習得を目的として、主に情報セキュリティを学んでいます。

 

具体的に今行っている学習の取り組みは、大きく分けると下記のようになるかと思います。

●大学院の授業 ←実質的には今はこれがベースか

●CTF等への参加

●オンラインマテリアルによる学習

●読書など

でしょうか。

 

マテリアル系

●大学院の授業

情報工学系の大学院に春から所属しています。顔ばれを防ぐため、どこかは書きませんが、関東にあるそれ系の社会人も通える大学院です。

(この時点で結構絞られてくる気がする…)

自分はもともとセキュリティを専門にするというビジョンはありましたが、いかんせんいわゆる非IT/エンジニアの人間で、ITそのものの知識が絶望的に少なかったです。

そのため、セキュリティ系の課目は全てとりつつも、あまりそれには特化せず、情報技術(実践、理論両面)について幅広く学ぼうというコンセプトで学習しています。

昨年くらいはまだ二進数の計算とかベン図の書き方とかやってましたと書くと、恐らく指導教授やクラスメイトを不安に陥れるだけなのでここだけでしか書きませんが、学部・基礎情レベルの基礎科目は独学もしつつ、社会科学時代に培った知識とスキルを総動員(思い出)し、何とかフォローしている状態です。

 

●CTF等への参加

難解なCTFの問題をすらすら解いたり、Bugbountyをとったりというレベルに到達することが、一つの目標です。CTF自体は競技ですが、やはり出来れば嬉しいものだし、中には最新の脆弱性や暗号理論などが反映された問題もあり、それにトライしていく過程で学ぶものが大きいのかなと。

最近は、日常的にCTFに参加する(余り出来て無いけど)他、必ずWriteUpの記事を読むようにしています。

CTFについてはこちら。

twitter.com

WriteUpでググったり、それを流している人をフォローしたりしていると、自然と日常的にWriteUpが流れてくるようになります。

またCTFに参加すれば多くのもので、SlackやGit上等で公式CTFがアーカイビングされています。

まぁそれでもすぐに解けるようにはなりませんが…目にするだけでもそれ以上の学びの契機にはなります。

まずは触れることが第一ではないでしょうか。

 

 

●オンラインマテリアル

所謂ハッキング、セキュリティに関しても、ITの他の分野と同様、多くのオンラインマテリアルが公開されており、学習環境は―難易度は別にして、情報量及びアクセスのしやすさとしては―非常に恵まれているといえます。

私がここ数カ月続けているのは、こちら。

tryhackme.com

初歩的な(座学的な内容の)リーディングマテリアルによるレクチャーから始まり、実際にマシーンを動かして与えられた問題を解くというルームが、テーマごとに非常に多数(2021年6月15日現在で396Rooms)設けられております。

授業がある日は厳しいのですが、ない日は毎日するようにしています。

 

●読書など

どんな分野においても読書は必須ではないかと思います。

勿論IT系は手を動かしてなんぼの世界であるし、読書だけで学ぼうとすることに対して否定的な意見もたまに見られます。

私自身は、もちろん手を動かすことは重要であると思いつつ、やはり読解力や理解力は情報セキュリティをやっていくうえで必須のスキル・メンタリティではないか、と思っています。

また、高い実践的なスキルを身に着けようと思ったら、まずは膨大な基礎知識を身に着けることが必須でもあります。

CTFの超強者やチームは得てしてアカデミックだったりするのも、恐らく故無き事ではないかと思います。

 

 

もう一度言い訳をすると、最近ブログ書いていないのは何もしていないからではなく、勉強が忙しいから、なのです。。。

とは言いつつ、こちらの方も少しずつ発信していけるよう、頑張ります。

ということで、次回以降は、

・習慣編 

 生活習慣。どう働きながら院にも通い、全く違う分野を勉強し始めるか、ということ。

・SC(情報処理安全確保支援士)受験の顛末と、そこに至る自分なりの勉強方法

について、少しずつ深めていってみようと考えています。

また一つ一つの学習マテリアルについても、少しずつ詳しく紹介してみようと思っています。

 

本記事は初心者向けの内容であること、私個人の経験であることから有効性の保証は出来かねる旨は、ご了承ください。

成果が出たら院のことも書きますが、いかんせんまだ課題に追われるだけの生き物なので、そちらの方は気長にお待ちください…