近年では、情報セキュリティやサイバーセキュリティに関連した話題が多く取り上げられるようになりました。
それに伴いセキュリティに興味を持ったり仕事にしたいと思う人が増えた印象があります。
また、ハッカーへの憧れもあると思います。
私がセキュリティを学んできた中で、良かった取り組みを複数回に分けて紹介したいと思います。
今回は初学者向けの書籍紹介です。
目次
初回なので書籍の前に学習するうえで私が重要だと思うことを記載します。
モチベーションの維持や学習の参考としてください。
手を動かす理由として、実際に試すことで理解が深まります。
実際に手を動かしてみると、手順通りに実施しても上手くいかなかったり、発生した問題を解決したり試行錯誤しながら試すことになります。
時間は掛かりますが、この試行錯誤する部分が学習にとって重要です。
アウトプットはブログや仲間内での勉強会等なんでも良いと思いますが、学習したことをまとめることや説明することで理解が深まります。
また、理解できていない部分についても明確にできます。
明確になればそこを更に学習することが大事です。
学習を続けていても成長を実感できないことがあります。
効果が見えないとやる気が無くなり学習意欲も下がってしまいます。
そこで覚えていて欲しいのが、学習のブレイクスルーは必ず起こるということです。
私の場合はがむしゃらに勉強を続けていましたが、成長を実感したのは5年くらい経ってからでした。
諦めずに学習をすればどこかでブレイクスルーが起こると思います。(経験談)
成長を実感しても知識不足・技術不足で憂鬱になることがあります。
「ダニング=クルーガー効果」というものをご存じでしょうか?
エンジニア界隈では「完全に理解した」「なにもわからない」「チョットデキル」として有名なのもので、知識が増えるとその分野の奥深さに気づき自信を無くします。
逆に自信満々の方が「井の中の蛙大海を知らず」状態なので、成長している証でもあります。
とはいえ、いくら努力しても成果が見えてこないとモチベーションを維持するのは難しいですね。
そんなときは一息入れつつブレイクスルーへの希望とダニング=クルーガー効果を思い出してみてください。
技術書において重要な点です。出版日が古い書籍は記載された内容が古かったり、上手く動かなかったりすることがあります。これはセキュリティに限らずプログラム言語やクラウド系の書籍でも同様だと思います。
通信プロトコルであれば変化が遅いので、多少出版日が古くても問題ないことがあります。新しい規格が出ても世の中のシステムが置き換わっていくのは時間が掛かります。例えばHTTPプロトコルの場合は現在HTTP/2やHTTP/3が主流になっていますが、HTTP1.1が未だに利用されているサイトがあります。HTTP1.1は1997年1月にRFC 2068として初版が発表されていますので、初版から20年以上経っても使われています。
著者で選択すると失敗することは少ないです。その業界で有名な人、評価されている人が著者に居るか見ると良いです。しかし、単純に「評価されている人」だけでは見誤る可能性があります。どういう観点で見極めていくのかは改めて書きたいと思いますが、まずはこの記事で紹介する書籍の著者で書籍を探すと良いかもしれません。
それではおすすめの書籍紹介です。
一つ目は手を動かしながら学べる書籍の「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」です。
著者はセキュリティ業界では有名な方で、Webアプリケーションの開発やセキュリティに携わるのであれば必須と言って良い書籍です。
実習環境は仮想環境で構築するようになっており、安全に学習することが可能です。
Webアプリケーションの脆弱性を突かれて情報が漏洩するといったことは度々起きています。
なぜそういったことが起こるのか、Webアプリケーションに脆弱性が生まれる原理を学べば分かるかもしれません。
他に手を動かしながら学ぶような書籍は環境が古くなった物が多く、動かないケースがあるようなのでおすすめから外しました。手を動かして学ぶのは書籍だと難しいと思うので、別でまとめる予定のおすすめの学習コンテンツで紹介したいと思います。
二つ目は「あなたのセキュリティ」シリーズの「あなたのセキュリティ対応間違っています」「あなたの知らないセキュリティの非常識」「あなたがセキュリティで困っている理由」です。
こちらの著者もセキュリティ業界では有名な方です。この本はセキュリティ事故事例を元に初学者にも分かりやすく解説されています。出版日は古いので事例も古いですが、セキュリティを学ぶときは過去事例から学ぶことも重要ですので、当時の状況でこういうことが起こったという目線で読むと良いです。そしてニュース等で新しいセキュリティ事故を見聞きしたときは、この本を参考にしながらニュースを追いって攻撃者の手口を想像してみると良いと思います。
三つ目は「ホワイトハッカーの教科書」です。
著者はIPUSIRON氏で、この方もセキュリティ業界では有名です。初学者がセキュリティに興味を持ったら最初に読んで欲しい著書です。
今までに読んだ本の中で初学者向けの書籍を探してみましたが、出版から日が経ってしまっているのが多くあまり紹介出来ませんでした。手を動かして学習するようなコンテンツは書籍よりWebに良いものがありますので、そのうちそういったものも紹介したいと思います。
紹介出来た書籍は少ないですが、参考になれば幸いです。
最後に学習編として掲載している記事を紹介します。