情報セキュリティのプロとして成功するにはどうすれば良いでしょうか。情報セキュリティ分野で成功を収めるためには、さまざまな道があり、情報セキュリティ産業には多くの幹部職が存在します。そして多くの異なるタイプの人々が情報セキュリティ分野で成功を収めることが可能です。
事実、ダイバーシティが良いセキュリティの基本となります。セキュリティが効果的であるためには、様々な関心や技術を持った異なるバックグラウンドや個性のある多くの人々が知恵を出し合うことが必要です。
その一方で彼らと全てを共有する必要はあるのでしょうか。セキュリティ分野に参入するのに必要であると考えられる何か一つの個人特性はあるのでしょうか。
私は自身のキャリアの過程で、多くの素晴らしいセキュリティの専門家と働けることを光栄に思っていました。そして彼ら専門家に共通する一つの重要なものがあると、私は考えています。それはセキュリティー・マインドセットを、彼ら全員が持っている(あるいはもしかしたら備えられている?)ということです。
セキュリティ・マインドセットは好奇心とパラノイア(妄想症)が特殊に交じり合ったもので、"~したらどうなるだろう"という質問を果てしなく問い続けるゲームに生活を変えるのです。例えば以下のような質問があります。
- “電話が盗まれたらどうなるだろう”
- “違う錠前に鍵を挿入してみたらどうなるだろう”
- “当社のオンライン登録フォームに誰かが必要以上の文字を入力したらどうなるだろう”
"セキュリティ・マインドセット"を持っているかはどうやったら分かるのでしょう。
マインドセットを象徴する以下のシナリオを考えてみましょう。
- "1"から"100"までの数字を入力するよう要求するウェブフォームに直面したら、"101"、“-1”や“`);”を入力したらどうなるか疑問に感じる。
- あなたは許可なしに誰かがガレージを空けられるのか興味があったため、ガレージの扉が遠隔でどうやって開閉作動するのか調査した。
- コンピューターにログインするとき、あなたは意図的にユーザーネームあるいはパスワードをミスタイプして何が起きるかを調べた。
もし上記(あるいは同様)の例がどれかが当てはまる場合、情報セキュリティでキャリアを積むことが良いかもしれません。
ご自分の中で情報セキュリティを確認した(あるいは取り入れた)今が、それを基礎にして発展させていくときであります。単純に永遠に"~したらどうなるだろう"と自問するだけでは不十分であり、このように過度に用心深くなるのは不健康です。
セキュリティの真の技はバランスをとることであり、こうした自問を止めるタイミングを正確に知っています。"~したらどうなるだろう"をあまりに多く自問しすぎると、あなたのセキュリティは結局出費がかさみすぎてしまい、ほとんど"~したらどうなるだろう"を自問しなくなると重大なリスクを考えないままにして恰好の標的となってしまいます。
複雑な事柄については、状況に応じて"~したらどうなるだろう"を考える適切な回数は変化します。例えば、国家安全秘密を守るには、おばあちゃんのバナナブディングのレシピを守るより、一層徹底的かつ厳密な調査をして可能性のある災害を防ぐことが当然です。
このようなトレードオフを冷静さを保ちながら交渉する能力は生涯追求するものであり、成功や失敗を通して次第に良くなっていくものです。情報セキュリティの基礎は数時間のみでよく理解できる一方、そのことを学ぶには一生を費やさなければなりません。
このような情報セキュリティの旅に出発する用意ができていれば、喜んでいくつかお勧めの出発点をご紹介します。
書籍で学習する方:
ブルース・シュナイアーによる Secrets and Lies – Digital Security in a Networked World を見てみてください。2000に書かれているので中には少し古い資料も含まれていますが、情報セキュリティ分野への素晴らしく利用しやすい入門書として今でも役に立つ本です。
オンラインコースを受講する方:
オープンユニバーシティーの“Introduction to Cyber Security”をご確認ください。
ソーシャルラーナー(社会的学習者)の方:
レディットのサブレディットnetsecstudents”をざっと読んでみてください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。