セキュリティ人材になるために/becoming a security personnel

Transcript

1. ηΩϡϦςΟਓࡐʹͳΔͨΊʹ

2. ໨࣍  ࣗݾ঺հ  ηΩϡϦςΟίʔεͱେֶͰͷֶͼ  ֶ֎Πϕϯτ  ࢿ֨ࢼݧ 

   ৘ใऩू๏  ,464FDVSJUZ
   %JTDPSEαʔόͷ঺հ  ·ͱΊ 2 私が1, 2年のときに知りたかった情報を書きま くったので、全部を話せる⾃信はないです。 そのため、資料を先に公開しています。 時間の都合で省くこともあるため、各⾃で⾒て ください。

3. ࣗݾ঺հ • X(Twitter)： @moz_sec_ • 興味・関⼼：ネットワーク、セキュリティ 3

4. • あえて、“セキュリティエンジニアになるために” という タイトルにしていない • フロントエンド, バックエンド, モバイル, 組み込みエンジ ニアでも、セキュリティに関する知識は必要

   • 最近話題のLLMでさえ、セキュリティが求められる※1 ηΩϡϦςΟਓࡐͱ͸ 4 [1] MACNICA ⼤規模⾔語モデル(LLM)のサイバーセキュリティ https://www.macnica.co.jp/business/ai/blog/144493/ • セキュリティの知識を持ったエンジニアになろう = セキュリティ⼈材になろう！！ *イーデス「エンジニア種類20種の適性・仕事内容・年収・将来性をわかりやすく解説」 https://www.a-tm.co.jp/top/job-change/it-engineer-inexperienced/type-of-engineer/

5. • あえて、“セキュリティエンジニアになるために” という タイトルにしていない • フロントエンド, バックエンド, モバイル, 組み込みエンジ ニアでも、セキュリティに関する知識は必要

   • 最近話題のLLMでさえ、セキュリティが求められる※1 ηΩϡϦςΟਓࡐͱ͸ 5 [1] MACNICA ⼤規模⾔語モデル(LLM)のサイバーセキュリティ https://www.macnica.co.jp/business/ai/blog/144493/ [2] サイバーセキュリティ体制構築・⼈材確保の⼿引き https://www.meti.go.jp/policy/netsecurity/downloadfiles/tekibihontai1.1r.pdf • セキュリティの知識を持ったエンジニアになろう = セキュリティ⼈材になろう！！ 正しくは“プラス・セキュリティの取組”というみたい※2 *イーデス「エンジニア種類20種の適性・仕事内容・年収・将来性をわかりやすく解説」 https://www.a-tm.co.jp/top/job-change/it-engineer-inexperienced/type-of-engineer/

6. • 開発者とセキュリティ診断⼠は仲が悪い と⾔われがち 開発者: セキュリティわからないから対策コストが⼤きい セキュリティ診断⼠: リスクがあるから対策した⽅がいいよ γεςϜ։ൃͱηΩϡϦςΟ 6 セキュリティがある程度わかる開発者

   or 開発もできるセキュリティ診断⼠ が増えるといい • セキュリティを⽣業にするなら 攻撃者に対抗するためには、攻撃⼿法について同等あるいはそれ以上に精通しなければならない 倫理観を持つ → ⼀歩間違えれば犯罪者 HowよりもWhatやWhy 本学のセキュリティの授業でも、学外のイベントで も絶対に倫理の講義がある インターンでWeb開発していた ときも、XSSの話は出てきた 疑問に思う気持ちがあれば、Howは⾃ずと⾒つかる

7. セキュリティコースと⼤学での学び 7

8. • 1年次 情報セキュリティ基礎 • 2年次 コンピュータネットワークⅠ コンピュータネットワークⅡ 産業システムセキュリティ（コース⽣のみ） 組込みシステム論 情報セキュリティ特別講義（コース⽣のみ）

   • 3年次 オペレーティングシステム 実践情報セキュリティ（コース⽣のみ） ৘ใηΩϡϦςΟίʔε セキュリティの第⼀線で活躍して いる⽅を講師に招いて最先端の技 術について講義してもらう 8 模擬産業システムに対して実際 に攻撃・防御を⾏う

9. p.21, 22でセキュリティの勉強サイトを紹介するが、それはあくまでも発展的な内容 コンピュータサイエンスの基礎を疎かにしてはわからないこともたくさん出てくる େֶͷतۀ 9 理論だらけで⾯⽩くなくても、絶対にあとで役に⽴つため、授業を真⾯⽬に受けて基礎を理解する プログラミングの授業とかであれば、課題に対して+αで何かできないかを考えてみる こういうものって、ちゃんと⾝についてると何とも 思わないけど、⾝についていないときに後悔する “失って後悔する”みたいな

10. 学外イベント 10

11. • IPA が開催する事業の⼀つ • 業界トップの講師陣から、最新のサイバーセキュリティに関する講義を受講できる • 受講料, 宿泊費, ⾷費, 教材費などは提供される

    • 2024年 全国⼤会 募集期間：4⽉10⽇(⽉) 〜 5⽉15⽇(⽉) 開催期間： 8⽉12⽇(⽉) 〜 8⽉17⽇(⾦) • 応募資格：2024年3⽉末時点で22歳以下の学⽣ • 昨年の参加記書いてます...※6 ηΩϡϦςΟɾΩϟϯϓ˞  もう少し早いタイミングで LTできていたらよかった。 11 [4] セキュリティ・キャンプ2024 全国⼤会 https://www.ipa.go.jp/jinzai/security-camp/2024/camp/zenkoku/index.html [5] セキュリティ・キャンプ https://www.security-camp.or.jp/news/index.html [6] セキュリティ・キャンプ 2023 参加記 https://moz-security.hatenablog.com/entry/2023/08/15/015853

12. • IPA が開催する事業の⼀つ • 業界トップの講師陣から、最新のサイバーセキュリティに関する講義を受講できる • 受講料, 宿泊費, ⾷費, 教材費などは提供される

    • 2024年 全国⼤会 募集期間：4⽉10⽇(⽉) 〜 5⽉15⽇(⽉) 開催期間： 8⽉12⽇(⽉) 〜 8⽉17⽇(⾦) • 応募資格：2024年3⽉末時点で22歳以下の学⽣ • 昨年の参加記書いてます...※6 ηΩϡϦςΟɾΩϟϯϓ˞  12 [4] セキュリティ・キャンプ2024 全国⼤会 https://www.ipa.go.jp/jinzai/security-camp/2024/camp/zenkoku/index.html [5] セキュリティ・キャンプ https://www.security-camp.or.jp/news/index.html [6] セキュリティ・キャンプ 2023 参加記 https://moz-security.hatenablog.com/entry/2023/08/15/015853 セキュリティ・ミニキャンプ in 三重の応募締切は 5⽉27⽇（⽉） までなのでぜひチャレンジしてみてください！！

13. 4FD)BDL˞ • NICT が開催する事業の⼀つ • セキュリティスペシャリストをトレーナーとして助⾔を得ながら1年間の⻑期ハッカソン • 受講料, 指導料などは提供される（交通費・宿泊費は参加者負担） •

    2024年 SecHack365 募集期間：4⽉16⽇(⽕) 〜 5⽉7⽇(⽕) 開催期間： 6⽉15⽇(⼟) 〜 3⽉9⽇(⽇) • 応募資格：2024年3⽉末時点で25歳以下の学⽣ 13 [7] SecHack365 https://sechack365.nict.go.jp/document/

14. $0%&
    #-6&˞ • 情報セキュリティの国際会議 • 学⽣スタッフだと無料で参加できる ↑早期割引でも8万円くらい • 交通費・宿泊費は⽀給してくれる • CODE

    BLUE 2024 開催期間： 11⽉9⽇(⼟) 〜 11⽉13⽇(⽔) 学⽣スタッフ募集開始は6⽉末くらい？ 14 [8] CODE BLUE https://codeblue.jp/2024/

15. 4&$$0/˞ 15 • 情報セキュリティコンテストイベント • ⽇本最⼤級の“CTF(Capture the Flag)”が開催される • カンファレンスやワークショップなども同時に⾏われる

    • SECCON Beginners CTF 2024 参加登録：6⽉8⽇(⼟) 〜 開催期間： 6⽉15⽇(⼟) 〜 6⽉16⽇(⽇) [9] SECCON 13 https://www.seccon.jp/13/

16. • 総関⻄サイバーセキュリティＬＴ⼤会 • OWASP Kansai • ゼロから始めるCTF • WEST-SEC •

    魔⼥のお茶会 • ⼤和セキュリティ勉強会 ษڧձ 16 connpassやDoorkeeperで探すといろいろある

17. ֎෦ͷΠϕϯτʹࢀՃ͢Δҙຯ 1. ⼈脈 同じ興味を持つ同じ世代の⼈や業界で有名な⽅と会うことができる 2. 技術を学ぶ 学内では学べないことも学べる（最先端の技術や実践的な技術） あくまで、⾜がかりであることには気を付ける必要がある 3. モチベーションの向上

    同じ世代のすごい⼈たちを⾒ると、刺激がもらえる 17 学⽣というだけで歓迎されることも多々ある 技術のことを何も知らなくても、これから勉強 します！！と⾔っとけば何とかなる

18. • 勉強してから応募しよう • 今の実⼒ではどうせ応募しても受からない • 落ちるくらいなら、そこにかける時間が無駄 ͋Δ͋Δύλʔϯ 18 最初は私もこうだった。

19. • 勉強してから応募しよう • 今の実⼒ではどうせ応募しても受からない • 落ちるくらいなら、そこにかける時間が無駄 ͋Δ͋Δύλʔϯ • 失うものなんて何もない(強いて⾔うなら、時間くらい？) •

    応募課題を解くだけでも勉強になるのだから、プラスにしかならない • 受かればラッキー、落ちても勉強くらいの気持ちで積極的にトライしてみるべき 19 イベントに落ちれば落ちるほど、落選耐性がついてくる → 何とも思わずに挑戦することができる → この状態になれば 最強 発想の転換 最初は私もこうだった。 卒業できないとかお⾦がかかるとか ではないんだから。

20. 資格試験 20

21. • IPAが発表している合格率の割には、特別難しい試験ではない → ちゃんと勉強して臨めば、確実に合格できる • 学部⽣でも応⽤情報技術者試験までは取れる と思う • 履歴書に書けるし（効果は知らん）、⾃⾝にはなる •

    アプリケーション作るとか、ハッカソンに参加するとかやりたいことがあるなら、そちらをすべき 取っ掛かりがない（やることがわからない）⼈にはおすすめ • 詳しくは、昨年のランチタイムトークのスライド˞を⾒てみてください ݸਓతݟղ 21 資格に合格するよりも、むしろそのための勉強を通して、いろいろなことを学ぶのが⼤事 [10] IPA試験 合格体験記 https://speakerdeck.com/moz_sec_/qualification-story *IPA「情報処理技術者試験 試験情報」https://www.ipa.go.jp/shiken/index.html

22. 情報収集（ほぼ勉強法） 22

23. • X(Twitter) https://yamdas.hatenablog.com/entry/20210420/top-cybersecurity-experts を参考に 憧れの⼈を模倣するのも⼀つの⼿ • 政府機関 Known Exploited Vulnerabilities

    Catalog • ニュース Security NEXT BLEEPING COMPUTER The Hacker News ৘ใऩूʢηΩϡϦςΟͷΈʣ 23 CISAが公開している悪⽤が確認された脆弱性リスト これを⾒とけば、とりあえずやばい脆弱性かくらいはわかる 最優先で⾒てる

24. • Podcast セキュリティのアレ SANS Daily StormCast • ブログ（はてな） piyolog Fox

    on Security まっちゃだいふくの⽇記 忙しい⼈のためのセキュリティ・インテリジェンス ৘ใऩूʢηΩϡϦςΟͷΈʣ 24 英語のPodcastであれば、結構いろいろありそう※11 [11] The 17 Best Cybersecurity Podcasts https://www.sans.org/blog/cybersecurity-podcast-roundup/

25. • Podcast fukabori.fm UIT INSIDE QiitaFM ゆるコンピュータ科学ラジオ • ブログ（情報共有サイト） Qiita

    Zenn daily.dev ৘ใऩूʢίϯϐϡʔλશൠʣ 25 暇なときに、⾯⽩い記事ないかなと探したりする アカウントを作ると⼈気の記事がメールで送られて くるため、それを⾒て読むか判断する

26. TryHackMe: ペネトレーションテスト勉強プラットフォーム Hack The Box:ペネトレーションテスト勉強プラットフォーム, TryHackMeより難易度が⾼いらしい PortSwigger Academy: Webセキュリティ SadServers:

    Linuxサーバのトラブルシュート CTFに興味があるなら、picoCTFやCpawCTFとかから始めるのがいいかも ษڧ๏ʢηΩϡϦςΟͷΈʣ 26 実際に開催されているCTFは https://ctftime.org/で確認できる

27. • 雑誌 Software Design • Githubリポジトリ kamranahmedse/developer-roadmap: roadmap.sh は1度⾒てみるのがおすすめ freeCodeCamp/freeCodeCamp:

    Web開発が学べる codecrafters-io/build-your-own-x: 作って理解するWebブラウザやプログラミング⾔語などなど sindresorhus/awesome: awesomeリポジトリを管理するリポジトリ ษڧ๏ʢίϯϐϡʔλશൠʣ 27 図書館にある ※ “私が確認してる範囲のもの”であることに注意 雑誌とかリポジトリとか他にもいろいろあるので調べてみると結構出てくる

28. 正直、興味を持ったり勉強したりする理由なんて何でもいい ハッカーかっこいい... → サイバー攻撃結構やばいな → 被害を減らせる⼈になりたい みたいな ・ブラッディマンデイ ・王様達のヴァイキング Ϟνϕʔγϣϯ

    28 [12] ハッキングシーンが重要なメディア作品またはその監修に関するまとめ記事 https://qiita.com/v_avenger/items/7776396c240db4580043 影響を受けた2作 ハッキング系の作品は結構いろいろある※12

29. • セキュリティを学ぶなら倫理観本当に⼤事 • セキュリティに少しでも興味があれば、情報セキュリティコースおすすめ 学べることは多いと思う • 学⽣のうちにしか参加できないイベントは、1年のうちからチャレンジしよう • 技術系のイベントにも⾏ってみよう 何も知らなくても、学⽣というだけで歓迎される

    • “Stop reading, start doing.”※13 ニュースなどを⾒て知ることも⼤事だが、まず⼿を動かして実践してみよう → 勉強法（p.21, 22）を参考に ·ͱΊ 29 [13] So, you want to work in security? https://www.freecodecamp.org/news/so-you-want-to-work-in-security-bc6c10157d23