この記事では現役で外資系の会社でホワイトハッカーとして活躍するBさんをゲストに招いてIT未経験からハッカーを目指したい方の為のロードマップを作成しました。
よろしくお願いします〜 俺もIT未経験からセキュリティのプロになれたからお勧めの書籍等を紹介します。お役に立てたら幸いです。
ホワイトハッカー(エシカルハッカー)とは
ハッカーという単語は知っているけど、ホワイトハッカー(エシカルハッカー)って何?という方もいると思うので説明します。
ホワイトハッカーは、エシカルハッカーとも呼ばれ、企業や組織のシステムやネットワークに対してペネトレーションテスト(侵入テスト)を実施する専門家です。
彼らの主な目的は、悪意のあるハッカー(ブラックハッカー)と同様の手法を用いて、システムやアプリケーションの脆弱性を発見し、それらの問題点を報告することです。
この情報を元に、企業や組織はセキュリティ対策を強化し、悪意のある攻撃者から情報資産を守ることができます。
似た職業にセキュリティスペシャリストもあります。
セキュリティスペシャリストは、情報セキュリティ全般に関する知識とスキルを持った専門家で、より広範な役割を担っています。
彼らは、企業や組織のセキュリティポリシーやプロセスの策定・運用、脆弱性管理、リスクアセスメント、インシデント対応、セキュリティ監査、法令・規制遵守、従業員教育など、様々な業務を行います。
また、セキュリティスペシャリストは、システムやネットワークの構築・運用や、セキュリティ技術の導入・運用も担当することがあります。
要するに、ホワイトハッカーは「正義のハッカー」として悪いハッカーの手口を使って企業のセキュリティの弱点を突き止め、セキュリティスペシャリストはその弱点を直して、企業のコンピューターを外部の敵から守る仕事をしています。
おすすめ書籍
ハッカーってカッコいいなと思っても何から勉強していいかわからないと思うので、おすすめの書籍を紹介していきます。
暗号技術入門 第3版
『暗号技術入門 第3版』は、暗号技術について包括的に解説した本です。古代の暗号から現代の暗号技術まで、歴史的な発展を概観します。
この本は、暗号技術に興味を持っている初学者から専門家まで幅広い読者に向けて書かれており、暗号技術の基礎知識や応用例を学ぶことができます。
特にITの経験があまりない人は最初にこの本を読むことをお勧めします。
少し難しけど読み物として面白いし、セキュリティの根底を理解できると思います。
私もプログラミングもやったことない時に読んだけどすごく面白かったのでITに興味を持つことができました。
本書に出て来る”エニグマ”という暗号方式があるのですが、それを元に映画が出ているのでまずはそちらを見てみてもいいかもしれません。
あらすじ
エニグマは、第二次世界大戦中にドイツ軍が使用していた暗号化装置です。これは、打たれた文字を別の文字に変換し、暗号化されたメッセージを生成するための機械です。
エニグマは、複雑な暗号化アルゴリズムを使用しており、その当時の技術では解読が非常に困難でした。
イギリスの暗号解読チームは、ブレッチリー・パークという秘密施設で、エニグマ暗号の解読に取り組んでいました。イギリス軍がドイツ軍に戦争で勝つためにはエニグマの解読が必要不可欠。
現代のコンピューターの父と呼ばれているアラン・チューリングという天才数学者が、解読不可能と言われていたエニグマを解読するに挑む物語です。
イミテーション・ゲーム/エニグマと天才数学者の秘密(字幕版)
イミテーション・ゲーム/エニグマと天才数学者の秘密(吹替版)
ホワイトハッカー入門
『ホワイトハッカー入門』は、阿部ひろ氏によって書かれた、コンピュータセキュリティやハッキング技術に関する入門書です。
本書は、ホワイトハッカー(倫理的なハッカー)としての知識や技術を身につけることを目的としています。
コンピュータネットワークの基礎、ホワイトハッカーとブラックハッカーの違い、ハッキングの歴史、法的な側面、脆弱性評価と攻撃などITの知識がなくとも社会人であれば知っておきたい情報も盛り込まれており、入門書としては最適です。
この本は私がハッキングやセキュリティについて興味を持ってから読んだのですが、セキュリティについて非常によくまとめられており勉強になりました。
非常におすすめの入門書です。
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』は、暗号技術と認証システムの基本原理をわかりやすく解説した教科書です。
この本では、暗号の種類、機能、歴史的背景や、データや通信の安全性を確保するための認証プロトコルと手法を紹介しています。
図解付きでで分かりやすく暗号の歴史や種類を解説してくれている王道の教科書といった感じです。
1トピックごとに数ページで解説しているのでテンポ良く読み進めることができました。
予備知識が無い一般読者向けの解説書なので暗号の歴史や技術を広く浅く学ぶにはいい本だと思います。
ただやはり専門用語も多いので一度読むだけでは頭に入らないとかもしれません。
暗号技術のすべて
『暗号技術のすべて』のタイトルの名に恥じないほど暗号の歴史から攻撃が成功するロジックや、暗号化と復号の計算などを体系的に網羅しています。
非常に良い本ですが、予備知識としてコンピュータの基礎知識、高校レベルの数学知識が必要とされているのである程度、暗号化等の学習をして一般的な解説本では満足できなくなってからの購入をお勧めします。
私は昔、一度読んで挫折しているのでいつか読み直したい本です。
実践編
ここからは実際に手を動かしながら勉強できる本を紹介していきます。
ここからは実際に自分でPCを使って手を動かして学べる本をBさんに紹介していただきます。
ハッカーの学校
『ハッカーの学校』は、一般的にコンピューターセキュリティやハッキング技術を教える教育機関やプログラムを指します。これらの学校は、倫理的ハッキング(ホワイトハットハッキング)やセキュリティの専門家を育成することを目的としています。
どのような手順でサーバーに侵入して情報を盗むのか?サーバー侵入達成までの具体的な流れを知識の浅い方にも実践できるよう、ハッキングの技術を順を追って丁寧に解説しています。
ある程度、セキュリティや暗号化の知識がついた後に読むのにお勧めの本です。
インターネットやコンピューターの基礎知識がないと読み進めるのは難しいかもしれないですが、非常に充実した内容となっております。
実際にツールを使った手順も載っているので読むだけではなく実際に手を動かすことができます。
パケットキャプチャの教科書
『パケットキャプチャの教科書』では、コンピュータネットワーク上でデータ通信を監視、解析、記録する技術を学ぶことができます。
ネットワークの基礎から実際にWiresharkeというツールを使ってネットワークの通信を解析する方法を学ぶことができます。
この本を読み終えた後はネットワークのパフォーマンスやセキュリティを向上させるためのパケットキャプチャと解析の技術が身についていることでしょう。
直接的にハッキングの手法を教えている本ではないけど、ネットワークの解析はハッキングには必須の知識ですので、本書ではその基礎を学ぶことができるのでお勧めです。
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
『ハッキング・ラボの作り方: 仮想環境におけるハッカー体験学習』では、セキュリティ技術を向上させるために、仮想環境でハッキング技術を学ぶ方法を解説しています。
ハッキングの入門書で一番有名な本だと思います。
実際にWindows7へのハッキングを行うのでまさにハッカーへの第一歩を踏み出すに相応しい本です。
古い本なので読替えが必要なので初心者の方には難しいかもしれませんが、HPでは古くなった部分を定期的にアップデートしているのでそちらも確認しながら読み進めることが出来ます。
コミニュティーも発達しており、Twitterで「#ハッキングラボ」とハッシュタグをつけて投稿すると著者や先輩学習者の方々が丁寧に答えてくれます。
私もこの本はやりましたが凄く楽しかったのと同時に大変でした。
実機はWindowsをベースに書かれているのでmacOSで行う場合はより難易度が上がると思います。
Pythonでいかにして暗号を破るか
『Pythonでいかにして暗号を破るか』では、Pythonプログラミング言語を使用して色々な暗号技術を破る具体的な方法が記載されています。
この本はオライリー社から出版されており、英語版であればこちらからオンラインで無料で読むことが出来ます。
Pythonとかプラグラミングをかじったことがある人はこの本で勉強してみると実際にコードベースで暗号を破る方法が記載されているのでいい勉強になると思います。
本書を読み終えた後は、セキュリティの弱いパスワード等を突破する方法が思い浮かぶと思いますが悪用厳禁です。
私は『暗号技術入門 第3版』を読んですぐに本書を購入したので座学で学んだことをすぐに実践に移せて楽しかったです。
WEBでも無料で読めますが、紙の方が圧倒的に読みやすいのでお勧めです。
ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
『ハッキングAPI: Web APIを攻撃から守るためのテスト技法』では、Web APIのセキュリティ脅威を理解し、それに対処するための方法を学ぶことが出来ます。
本書を読み終えた頃には、Web APIのセキュリティに関する理解が深まり、APIを攻撃から守るための求他的なテスト技法や対策が身に付いていることでしょう。
中級者向けではあるが、本格的なAPIセキュリティテストの資料は珍しいため、この本は貴重です。
ただし、一般的に外部のAPIを無断でテストすることは許可されていないので注意が必要です。
他の本も同様ですが、テスト目的であっても外部のサービスに無許可でアクセスすると、法律によって問題とされる可能性があるため、注意してください。
その他おすすめ書籍
ハッキングや暗号に関連した本を主に紹介しましたが、その他のお勧め書籍も紹介します。
いちばんやさしい ITパスポート 絶対合格の教科書+出る順問題集
ITパスポート試験は、日本における情報技術(IT)の基本的な知識やスキルを評価する国家資格試験です。
主にビジネスの現場で活用されるIT知識や、プロジェクト管理、情報セキュリティ、データベース、ネットワークなどの幅広い分野をカバーしています。
この試験は、IT業界で働く人だけでなく、一般のビジネスパーソンにも役立つスキルを身につけることを目的としており、ITリテラシーの向上に寄与しています。
この後のロードマップや資格試験の項目で話していますが、本当にITの右も左も分からない人は色々な資格を取っていくのが一番の近道だと思います。
そんな方は一番初めにこちらの資格を取ることをお勧めします。
ある程度、資格があれば日本では未経験でも雇ってくれるIT会社は山のようにあるので、まずは資格を取って業務をこなしつつ勉強していくのが良いでしょう。
ITパスポートと言っていますが、ITに関連する基礎的な知識だけでなく、社会的な知識の問題も多いです。
これには、経済知識、企業経営、法律、ITと連携して効果的にビジネスを展開するために必要な幅広い分野の基本的な知識が含まれてれているので社会人必須の資格です。
とりあえずリンク先の本1冊だけあれば必ず合格できます。
国家試験だし持っておいて損はしません。
ネットワークはなぜつながるのか 第2版 知っておきたいTCP/IP、LAN、光ファイバの基礎知識
「ネットワークはなぜつながるのか 第2版」は、ネットワーク技術の基本的な知識を解説した書籍です。この本では、TCP/IPプロトコル、ローカルエリアネットワーク(LAN)、光ファイバなどの基礎知識について詳しく説明されています。
TCP/IPはインターネットの基盤となるプロトコルで、データの送受信を可能にするための規格です。LANは、家庭やオフィスなどの限られた範囲内でコンピューター同士を接続するネットワークです。
光ファイバは、光信号を用いて高速でデータを伝送するためのケーブルで、インターネットのバックボーンを形成しています。
本書では、これらの技術がどのように働いてネットワークを構築し、コンピューターやデバイスが互いに通信できるようになるのかをわかりやすく解説しています。
また、ネットワークのトラブルシューティングや、セキュリティ対策など、実践的な知識も提供しており、ネットワーク技術に関心がある初心者から中級者まで役立つ一冊です。
ネットワークの基礎を学ぶのに最強の教科書です。
ブラウザにURLを入力してからホームページが表示されるまでの仕組みを丁寧に解説しています。
内容は少し難しいですが、一生物の知識が身につくと思います。
Linuxで動かしながら学ぶTCP/IPネットワーク入門
「Linuxで動かしながら学ぶTCP/IPネットワーク入門」は、Linux環境を利用してTCP/IPネットワーク技術の基礎を学ぶための書籍です。
この本では、TCP/IPプロトコルスタックの理解、ネットワーク構築、ネットワーク管理の基本を、実際にLinuxで操作しながら学ぶことができます。
書籍の内容は、TCP/IPの基本概念から始まり、IPアドレッシング、サブネットマスク、ルーティング、ネットワークアプリケーションの構築など、ネットワーク技術に関する幅広いトピックを扱っています
また、Linuxでのネットワーク設定やコマンドラインツールの使い方についても詳しく解説しています。
実践的な例を通して、ネットワークの概念やプロトコルの理解を深めることができるため、初心者から中級者までLinuxユーザーにとって役立つ一冊となっています。
この本を読むことで、Linux環境でのネットワーク管理スキルを向上させることができます。
ネットワークの基礎を学んでから本書の実習でさらに理解が深まると思います。
「ネットワークはなぜつながるのか」等の座学の本が難しく感じる方は、こちらで実際に手を動かすして勉強した方が理解しやすい場合もあるかもしれません。
ロードマップ
1. 基本的なIT知識とスキルの習得
最初のステップは、基本的なIT知識とスキルを身につけることです。これには、ネットワーク、プログラミング、オペレーティングシステム(OS)、データベースなどが含まれます。
ハッキングやセキュリティと言ってもまずは基本的なITの知識を習得しなければ、スタートラインにも立てません。
2. 情報セキュリティの基礎知識を学ぶ
次に、情報セキュリティの基本原則、脆弱性、リスク評価、暗号化などを理解することが重要です。
3. インターンシップやエントリーレベルの職を探す
現場での実務経験を積むことが重要です。インターンシップやエントリーレベルのセキュリティ職を探し、スキルを活かして実践的な問題解決を行いましょう。
未経験でいきなりハッカーや社内のセキュリティスペシャリストの仕事はできないのでまずは、未経験でも出来る仕事を探しましょう。
セキュリティ関係が好ましいですが、未経験の場合は雇ってもらえるだけ有難いのでどこにでもいいから就職して現場を通して勉強するのが近道です。
日本だと資格さえ持っていれば、未経験でも雇ってくれるIT企業は沢山ありますよね。
やはり日本で未経験からセキュリティのプロになるには以下の方法が王道だと思います。
1. 資格を取る
2. セキュリティ関係に絞らずにまずはIT会社に就職する
3. 業務をこなしつつセキュリティ関係の資格を取る
4. 資格を活かして転職してステップアップ
セキュリティ関係の職でなくともネットワークなど必要不可欠な知識は仕事を通して学ぶのが一番効率が良いということですね。
そうですね。やはり独学よりも圧倒的に効率よく学べるしお金も貰えるのでとりあえず未経験の方はIT企業であればどこでも良いのでまずは就職しましょう。
おすすめの資格
ここでは効率良くセキュリティのプロになるためにオススメの資格を取るべき順番に紹介します。
おすすめの参考書のリンクも貼っておきますので、ご活用ください。
基本的に紹介している1冊をやりこめば合格はできると思います。
1. ITパスポート
ITパスポート試験は、日本における情報技術(IT)の基本的な知識やスキルを評価する国家資格試験です。
前述しましたが、IT以外の一般的なビジネス知識の問題も多く出題されるので社会人必須の資格かと思います。
右も左も分からない方はまずはここから始めましょう。
2. 基本情報技術者試験
基本情報技術者試験(FE、Fundamental Information Technology Engineer Examination)は、情報技術(IT)の基礎知識を評価する日本の国家試験です。
この試験は、情報処理推進機構(IPA、Information-technology Promotion Agency)が主催し、IT業界の初心者や学生を対象としています。
基本情報技術者試験は、ITの基本的な知識や技能を身につけ、情報システムの設計、開発、運用、管理などに関わる業務に従事するための第一歩とされています。
ITパスポートよりさらにIT特化した資格です。
初心者向けと言われていますが、中々内容も濃いです。まずはこの資格を取得して基礎知識を身に付けてから、応用情報技術者試験など他の資格取得すると効率が良いかもしれません。
3. CCNA(Cisco Certified Network Associate)
CCNA(Cisco Certified Network Associate)は、シスコ認定試験のエントリーレベルの資格です。CCNAは、ネットワーク技術の基本を理解し、シスコのネットワーク製品を効果的に設定、操作、トラブルシューティングする能力を証明する資格となります。
この資格は、ネットワークエンジニアやITプロフェッショナルがキャリアの初期段階で取得することを目指すものです。
CCNA認定試験は、以下の分野における知識とスキルを評価します。
1. ネットワーク基本概念:OSIモデル、TCP/IPモデル、ネットワークトポロジー、IPアドレッシングなど。
2. LANスイッチング技術:VLAN、スパニングツリープロトコル(STP)、EtherChannelなど。
3. ルーティング技術:ルーティングプロトコル(OSPF、EIGRP、RIPなど)、ルーティングテーブル、IPルーティングの基本設定。
4. WAN技術:WAN接続の種類(MPLS、インターネットVPNなど)、WAN接続の設定とトラブルシューティング。
5. インフラストラクチャサービス:DHCP、NTP、HSRP、ACL(アクセス制御リスト)など。
6. インフラストラクチャセキュリティ:ポートセキュリティ、VPN、ファイアウォールなど。
7. インフラストラクチャ管理:SNMP、Syslog、デバイス管理、バックアップと復元など。
この試験は、上記のトピックをカバーし、ネットワーク技術の基礎知識を評価します。
CCNA認定は、ITキャリアを追求する上で非常に重要なステップであり、ネットワークエンジニアやシステム管理者などの職種に役立ちます。
また、CCNAは、より高度なシスコ認定(CCNP、CCIEなど)への基礎となる資格でもあります。
ネットワーク資格の登竜門です。
世界基準の資格なので日系企業ではもちろん外資系の企業の転職でも評価されやすいです。
セキュリティ関係の仕事をするならネットワークの知識は必須なので非常におすすめです。
ネットワーク技術に興味がある場合は、基本情報技術者試験の前にこちらから取得しても良いかもしれません。
4. 情報セキュリティマネジメント試験
情報セキュリティマネジメント試験(情報セキュリティスペシャリスト試験)は、日本の国家試験で、情報セキュリティに関する専門知識とスキルを評価します。
この試験は、情報処理推進機構(IPA)が主催し、情報セキュリティに関する実務経験を持つITプロフェッショナルを対象としています。
情報セキュリティマネジメント試験は、情報セキュリティ対策の企画、立案、実施、運用、管理、評価、改善などのプロセスに関する知識とスキルを評価します。
また、組織の情報セキュリティリスクを評価し、適切な対策を提案・実施できる能力を持っていることが求められます。
試験は、以下のようなトピックをカバーしています。
1. 情報セキュリティの基本概念と原則
2. 情報セキュリティリスクマネジメント
3. 情報セキュリティ対策の企画、立案、実施、運用、管理、評価、改善
4. 情報セキュリティ関連法規、規格、ガイドライン
5. セキュリティインシデント対応
6. 情報セキュリティに関する組織や人材のマネジメント
情報セキュリティマネジメント試験に合格することで、情報セキュリティの専門家としての知識とスキルを証明できます。
この試験は、日本の最難関セキュリティ試験の情報処理安全確保支援士(登録情報セキュリティスペシャリスト)の資格取得に向けたステップとしても位置づけられています。
中級から上級のITプロフェッショナルを対象とした試験ですので、セキュリティの実務経験があり更に専門性を深めたくなったら受験を検討しても良いと思います。
情報処理安全確保支援士を目指す方はまずはこちらを受験してステップアップすることをおすすめします。
CEH(Certified Ethical Hacker)
CEH(Certified Ethical Hacker)は、米国のEC-Council(International Council of E-Commerce Consultants)が主催する情報セキュリティ資格試験です。
この資格は、倫理的ハッカー(エシカルハッカー)としての知識とスキルを認定し、情報セキュリティ分野で働く専門家に対して国際的な評価を提供します。
CEH試験の目的は、悪意のあるハッカーが使用する手法やツールを理解し、それらに対抗するための防御策を立てる能力を評価することです。試験の範囲は広く、以下のトピックをカバーしています。
1. イントロダクション(エシカルハッキングの基本概念)
2. フットプリンティングとリコネッサンス(情報収集)
3. スキャンネットワーク
4. システムハッキング
5. マルウェアの脅威
6. ソーシャルエンジニアリング
7. デニアルオブサービス攻撃
8. セッションハイジャック
9. WebサーバーとWebアプリケーションのハッキング
10. SQLインジェクション
11. ワイヤレスネットワークハッキング
12. モバイルプラットフォームの脅威
13. IoT(インターネット・オブ・シングス)とOT(オペレーショナル・テクノロジー)の脅威
14. クラウドコンピューティングの脅威
15. 暗号技術に関連する脅威
CEH試験は、セキュリティエンジニア、セキュリティコンサルタント、ペネトレーションテスター、ネットワーク管理者、システム管理者、情報セキュリティオフィサーなど、情報セキュリティ分野で働く人々に役立ちます。
この資格を取得することで、ネットワークやシステムのセキュリティ上の脆弱性を特定し、対策を立てるための実践的なスキルを証明できます。
日本の試験ではないので試験の情報収集が大変だったり受験費用が高額だったりと日本人には非常に難易度が高いと言えます。
受験費用のみで$1199が必要で2年間のセキュリティ関係の実務経験が無いと公式のトレーニングを有料で受ける必要あり。
資格取得までに30~60万ほどかかることもあります。
ですが世界的に評価されている国際資格ですのでそれだけの価値はあります。
ホワイハッカーの年収は?
ホワイトハッカーと言っても会社、業務内容によって違うので一概には言えませんが、ホワイトハッカーの資格であるCEH(Certified Ethical Hacker)の保持者の平均年収は$70,000~$120,000とも言われています。
私が住んでいたニューヨークですと、CEHのワードで仕事検索すると最低ラインが$100,000からで$300,000級のものも沢山あります。
日本円換算すると1500万~4000万円くらいのレンジですね。ニューヨークが高所得地域とはいえ日本では中々、考えられない金額ですね。
日本で会社員としてこのレベルの年収を目指すのは難しいかもしれませんが、1000万円〜程でしたら外資系企業であれば十分に可能です。
英語 x セキュリティを組み合わせることで市場価値が何倍にもなります。
私が使用していたおすすめの転職会社を紹介します。
どちらもロンドン設立された外資系人材紹介会社の最大手です。ITに限らず幅広い職集を扱っています。
外資系以外も大手日経企業の楽天やYahoo!などの英語必須現場の案件も多数、所持しています。
私も昔よくお世話になりました。
どちらも英語は必須ですが、読み書きしか出来ない方でも能力さえあれば良い仕事を紹介していただけるので気になる方は登録だけでもしてみることをお勧めします。
人材紹介会社ですので、こちらにお金を請求されたりする事は一切ないです。
なるほど。詳しい情報ありがとうございます。
何か転職に関するアドバイス等はありますか?
技術力を高めたい方はベンチャー企業に就職すると良いかもしれません。
業務は大変ですが、意見も通りやすいですし大手企業よりはやりたい事をやらせてくれる可能性が高いです。
私もベンチャー出身なのですが、当時、本で学んだ知識を現場で活かす機会は無かったのですが企業向けに脆弱性診断を勝手に作ってプレゼンしたら製品にして頂けたりもしました。
最後に
Bさん、本日は色々お答えいただきありがとうございました。
私自身は普段はITには関係ない仕事をしていますが大変、勉強になりました。
いえいえ。未経験からのセキュリティ業界への挑戦の記事という事で今回はあまり深掘りしませんでしたが、また別の機会にでも業界についても詳しく話せたらと思います。
Follow me!
