IT技術に関するメモ(主にセキュリティ関連)

ほぼ毎日自己研鑽1日目~いつまで続けられるのか~

2023年9月14日 自己研鑽

本ブログ記事にはアフィリエイト広告を利用しています

このブログはPCトラブルを解消するための備忘録として運用していましたが、趣旨を少し変えた記事を投稿することにしました。
と言いますのも、スプラトゥーン3が発売されてから1年が経過しましたが、プレイ日数が350日以上、プレイ時間が1500時間以上といった状況で、気付いたらブログの更新も自己研鑽も怠るという状況に陥っていました。
私はプロゲーマーでもなく、ゲーム実況者でもなく、本業はセキュリティエンジニアなので、ちゃんと本業に取り組もうと思いました。
スプラをほぼ毎日プレイ出来たのであれば、自己研鑽もほぼ毎日出来るのでは?と根拠の無い自信を胸に企画をスタートします。

ほぼ毎日自己研鑽とは

以下の方針でほぼ毎日投稿を目指します。

  • その日学んだことの感想を書いたり、まとめたりします
  • その日に学ぶ内容は自由(気分)です
  • 投稿される情報に網羅性は無く、投稿時点の私の知識レベルに依存します
  • まとまったセキュリティ情報としてではなく、日記的な読み物レベルです
    あくまでも目的は自身の成長となります
  • 情報の誤りに気付いた場合は後日加筆します
  • 業務上の守秘義務等があるため、フェイクやあえて記載しない内容があります
  • 記載内容は全て個人の見解です

本日の学習

何から始めようか迷っていたところ、Try Hack Meという学習サイトで「Win Prizes and Learn – 2023!」というキャンペーンをやっていたため、これに沿って進めました。
このキャンペーンで行うラーニングパスは「セキュリティエンジニア」という名称となっており、予備知識なしの入門コースとなっています。

Try Hack Meとは

Try Hack MeとはWebで出来る学習用コンテンツで初心者から上級者まで幅広く学べます。
セキュリティを学ぶ際に注意しなければいけないのが、一歩間違えると犯罪行為(誤って他者のサーバーに攻撃してしまう等)になります。
THMはやられ環境が準備されているので、その点安心してハンズオン形式の学習が行えるようになっているのです。

難点は英語な点で、翻訳しながらでは分かりにくい部分がある事でしょうか。
また、似たような学習用サービスとしてはHack The BoxやUdemy等が該当するでしょうか。

Security Engineer Introルーム

セキュリティエンジニアとは何か、責任や役割等が学べる入門ルームで座学が中心です。

入門という事で知っている内容ばかりですが、改めて明示されると心に来るものがあります。
私は以下のようなポイントが心に留まりました。(Edgeブラウザの翻訳機能を利用)

  • セキュリティエンジニアの役割は非常に幅広い
  • ビジネスニーズを満たすためにセキュリティポリシーを破らなければいけない時の対応
  • 従業員教育
  • 意思決定を行う際にビジネス目標とセキュリティを考慮

セキュリティエンジニアの役割は非常に幅広い

セキュリティという分野は多岐に渡り、Webアプリのセキュリティ、サーバーのセキュリティ、クラウドセキュリティ、ネットワークセキュリティ、インシデント対応、セキュリティポリシー等、セキュリティ詳しいからという理由で様々な相談事や対応を求められる事があります。
「セキュリティに詳しい人」が周りから求められる期待値は大きく、何でも屋になりやすいです。

セキュリティと一言で言っても、分野によって必要な知識も技術も異なるのですが、なかなかそうは思って貰えません。

ビジネスニーズを満たすためにセキュリティポリシーを破らなければいけない時の対応

必ず「例外」は発生します。
こういった時に「言われたからやる」のではなく、リスク低減策を提案すべきでリスクマネジメントの分野になります。
扱う情報のレベルとセキュリティリスクを洗い出し、リスクマネジメントを行って回避策や低減策を提案するのが役割です。
セキュリティポリシーが浸透しており、しっかりと運用されている程やりやすいと思いますが、そうでない場合は大変な仕事です。

従業員教育

「詳しくない人」も守るのがセキュリティエンジニアだと考えています。
また、「無意識でも守られている」環境を整えるのもセキュリティエンジニアの役割だと考えています。
大量のセキュリティルールを従業員に守るように言ったり、守れないセキュリティルールを策定して従業員に責任を押し付けたりするのは誤りです。
システムや仕組みで守れる部分は機械的に守り、従業員には必要最小限のルールを徹底して貰えるように教育する必要があります。

意思決定を行う際にビジネス目標とセキュリティを考慮

セキュリティの仕事をする上で一番大事な事だと思っています。

CODE BLUEというセキュリティカンファレンスにおいて、2016年に「How much security is too much?」という講演がありました。
内容は次の記事(セキュリティを「必要悪」にした犯人は業界自身ではないか?)にまとまっているので、是非読んでみてください。
この講演内容は私のセキュリティエンジニアとしての道しるべであり、信念にもなっています。

セキュリティのためにビジネスがあるのではなく、ビジネスをするためにセキュリティがあります。
なので、経営者の考え方やどういった点を重要視するのかも学ぶ必要があります。
ビジネスを考えないセキュリティ対策は経営者の前では無意味な提案になります。

セキュリティ原理主義にならず、「イノベーションフレンドリーなセキュリティを目指そう」というのが私の考えです。

おわりに

Try Hack Meをやる時間よりも記事を書く時間の方が掛かりました。
毎日続けられるのか不安ですが、本日の学習では初心に帰れた気がします。
なのでやって良かったのですが、もうちょっと文章を書くのが早くならないと、すぐに限界が来そうです。

この記事を書いた人

スプラは3からハマり、1年間ほぼ毎日プレイした結果、最高XP2400台、シーズン終わりの最高順位14000台まで行きました。
これからもスプラは続けますが、プレイ時間は削り自己研鑽に励みます。

本職はセキュリティエンジニアで過去には脆弱性報告をしていたり、セキュリティ系の資格を持っていたりします。
好きな分野はログ分析です。

[広告]当サイトはさくらインターネットのレンタルサーバーを利用しています。
アーカイブ
カテゴリー