メインコンテンツへスキップ
Ixonae on Security
  1. 記事/

読書メモ: Cybersecurity Career Master Plan: サイバーセキュリティキャリアを前進させるためのテクニックとヒント

·1 分
Ixonae
読書メモ
Ixonae
著者
Ixonae
目次

注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら

最近、かなり多くの本を読んでいます。セキュリティに関連するものの中には、このブログの読者の方々にも興味を持っていただけるものがあるかもしれないので、本について取ったメモ(要約・要点と全体的な感想)を共有するために、新しいReading Notesカテゴリを作ることにしました。

Cybersecurity Career Master Plan: Proven techniques and effective tips to help you advance in your cybersecurity careerは、Dr Gerald Auger、Jaclyn Scott、Jonathan Helmus、Kim Nguyenによって書かれた本です。2021年9月に出版され、サイバーセキュリティ業界で仕事を得たいと考えている人々に方向性を示すことを目的としています。本書は以下のように紹介されています(序文からの引用):

この本は、この分野を読み解き、進むべき方向を理解し、旅に持っていくツールと備品、そして目的地に到達する方法を助けるための完全な計画です。 […] この本は、キャリアの時系列に沿った[…]3つの論理的なセクションに分かれています。 セクション1は[…]「サイバーセキュリティの仕事は自分に合っているか、もしそうならどの仕事か?」という問いに答える手助けをします。 セクション2は、自分の知識、スキル、能力をこの分野でどう活かすか、また潜在的な採用マネージャーに自分をどうアピールするかを示します。 セクション3は、この分野に入った後、どうキャリアをレベルアップさせるかを示します。 […] サイバーセキュリティのキャリアに少しでも興味がある方、あるいは猛烈に渇望している方、この本はあなたのためのものです。

本の内容メモ
#

前述の通り、本は3つのパートに分かれています。それぞれを見ていき、内容と要点を紹介します。

セクション1: サイバーセキュリティ入門
#

このセクションの最初の章では、セキュリティに関連する各種法律(GDPR、HIPPA、…)、主要なセキュリティフレームワーク(NIST、ISO 2700/27001、SOC2、…)、CIAトライアド(機密性、完全性、認証)などの概念、そして存在するいくつかの攻撃の種類など、サイバーセキュリティに関連するさまざまなトピックが紹介されます。章の最後には、サイバーセキュリティキャリアのメリットとデメリットが説明されています。特に以下の点が挙げられます:

  • フレキシブルな勤務時間、高い給与、リモートワーク
  • 独学で学ぶことが可能(ただし、エントリーレベルのポジションには通常かなりの前提条件がある)
  • 常に変化があるため、最新情報を追い続け、自己研鑽を続ける必要がある
  • このキャリアには真剣な情熱が必要であり、高度な知的作業による精神的な燃え尽き症候群を引き起こす可能性がある
  • 犯罪者は休暇を取らない

この章からの追加のポイントとして、器用貧乏にならないように1つか2つの専門分野を開発することが望ましいこと、そしてオンラインには豊富な無料リソースがあるため、高額な資格取得やトレーニングの前にまずそれらから始める方が良いということが挙げられます。

第2章は「どのキャリアがあなたに合っているか?」という問いに答えることを目的としています。そのために、可能なさまざまな領域を列挙し、それぞれの領域でどのような仕事が見つかるかを丁寧に説明しています。主な領域にはそれぞれさまざまな分野があり、以下のように列挙されています:

  • リスク評価(Offensive Security)
  • ガバナンス(Risk Management、Compliance、Gouvernance)
  • 脅威インテリジェンス(外部および内部)
  • セキュリティオペレーション(Incident Response)
  • セキュリティアーキテクチャ(Cloud Security)
  • 学習(教育、トレーニング、意識向上)

キャリアの構築方法を選ぶためには、自分の情熱を見つけ、強みを特定し、新しい選択肢を発見するために探索を続けながら、理想の仕事リストを作成する必要があるというのが要点です。

キャリアを構築する際には、複数の要素を考慮すべきです:スキル(ソフトスキルと技術スキル)、情熱と興味、個人的成長の可能性、仕事の価値、給与、潜在的な発展機会など。

セクション2: 業界への道
#

このセクションは、業界で仕事を得るための手助けをするものです。大きく2つの部分に分けられます:前半はさまざまな種類のセクターに関する一般的な情報と、どのようなトレーニングや資格を検討すべきかについてです。後半は主にネットワーキング、セルフプロモーション、就職活動についてです。

サイバーセキュリティ業界とトレーニング
#

前のセクションの終わりと同様の趣旨で、著者たちは米国Cybersecurity and Infrastructure Agencyが定義した16の重要インフラセクター(例:金融サービス、ヘルスケアと公衆衛生、エネルギー、情報技術、…)を列挙し、それぞれで働く際に何を期待すべきかを議論しています。公共セクターと民間セクターについても同様に説明し、セキュリティ部門の典型的な組織構造についても解説しています。次の仕事をどのような会社にするか迷っている場合、この情報は選択の指針として非常に役立つでしょう。

人々が通常かなり迷うポイントの1つは、どの学位や資格が正しいかということですが、これも本書で取り上げられています。ある章では、業界の各種資格(CISSP、CompTIA Security+、OSCP、CEH、…)を列挙し、それぞれが何を教えるか、費用はいくらか、どの程度認知されているか、難易度はどの程度かについての概要を示しています。大学教育については、エントリーレベルのポジションでは学位を持っていると通常10〜15%高い給与が得られること、そして多くのポジションでは最低でも修士号を持っていることが求められると述べられています。

このサブパートの最後の章は、セキュリティポジションを探す際に経験がないという鶏と卵の問題に対処する手助けを目的としています。多くの企業は採用にあたって経験を求めますが(ジュニアポジションにCISSPを要求する企業には特別な言及あり)、経験がなければ誰も雇ってくれません。著者たちは以下のような提案をしています(次の章と多少重複しています):

  • WebGoat(pwn-boxesのようなもの)のようなものをインストールして、ペネトレーションテストの練習をする
  • カンファレンス、CTF(Capture the Flag)イベントなどに参加して、業界のコネクションを作るとともに、最新のトレンドを把握する
  • 機会があれば、カンファレンスでのボランティアは、同じ志を持つさまざまな人々とつながる良い手段となる
  • プロフェッショナルネットワークを広げる努力をする:求人の大部分はオンラインに掲載されることはなく、知り合いがいれば通常のプロセスと比べて面接が少なくて済む可能性がある
  • 関連する仕事の経験がある場合(例:ソフトウェアエンジニア、ヘルプデスク、…)、その経験を活用する
  • ブログを作成して、自分のスキルとコミュニケーション能力をアピールしながら知識を深めることができる
  • すでに雇用されている場合、社内のセキュリティ担当者とつながり、可能な範囲で手伝うことを試みる
  • 学生であれば、インターンシップは経験を得るための素晴らしい方法であり、通常は就職よりもはるかに容易に得られる

ネットワーキングと就職活動
#

ここまで読んだ方は、業界がどのようなものか、そして仕事を得るための資格やスキルをどう身につけるかについて、より良い理解が得られたことでしょう。このサブパートでは、この最後の部分を手助けします。

このサブパートの最初の章は、自分自身をブランディングするためのツールを提供することを目的としています。これを達成するには、目的(ゴール)と一貫性が必要です。著者たちは、自分のゴールを定義するためのいくつかの方法を提案しています(例:自分が何をしたいか、どう見られたいか、選択の自由があったら何をしたいか、それを妨げているものは何か、それにどう対処するか、…)。目的を知ることで、自分のブランドを定義する助けになります。著者たちが述べる追加のポイントは以下の通りです:

  • ソーシャルメディアに質の高い投稿を書くために時間をかける
  • ソーシャルメディアに一貫して投稿する
  • 使用しているソーシャルメディアの特性を知る(例:TwitterはLinkedInとは異なる雰囲気がある)
  • 独自の考えを共有することに自信がない場合は、記事をシェアすることもできる。その際、簡単な要約やエンゲージメントを促す質問を添えると良い

全般的に、著者たちは情報セキュリティに特化したものではなく、ソーシャルネットワーキングの活用に関する多くのアドバイスを提供しています。

このサブパートは、ポジションへの応募方法、良い履歴書の作り方、面接の獲得方法と面接でうまくやる方法で締めくくられています。ここでも、著者たちのポイントの大部分は情報セキュリティに特化したものではありません。注目すべき要素としては:

  • キャリア転換の根本原因を特定して、適切な決定を下す
  • LinkedIn、Glassdoor、Indeedなどの求人検索サービスを利用して、興味深いポジションを見つけるだけでなく、市場に関する情報(どのような仕事が広く求められているか、給与はどの程度か、…)を得る
  • 自分と似た経歴を持つ人を探し、彼らがどのようにして情報セキュリティに入ったか、キャリアパスがどのようなものかを調べる
  • resumeworded.comやskillsyncer.comなどのリソースを使って、履歴書に魅力的なキーワードが含まれているか確認できる

セクション3: 業界に入ったら、レベルアップの時!
#

このセクションでは、業界に入った後にキャリアをさらに前進させるためのアドバイスが主に提供されています。

著者たちは読者にカンファレンスで発表することを勧め、応募方法、どのカンファレンスが良いか、話すトピックの見つけ方についてアドバイスを提供しています。また、燃え尽き症候群がこの業界のリスクであることを強調し、それを回避するための方法や、有害な職場環境の兆候(例:陰口、責任転嫁、有害なリーダーシップ、高い離職率)についても述べています。

本を締めくくるにあたり、最後のアドバイスとして以下が挙げられています:

  • SMART(Specific:具体的、Measurable:測定可能、Attainable:達成可能、Relevant:関連性がある、Time-based:期限付き)な目標を理解し設定する
  • 責任を持ち、努力を惜しまない
  • メンターを見つけ、その関係を大切に育てる
  • LinkedIn、Discordサーバー、Twitterなどのさまざまな手段を通じて、オンラインで人々と交流する
  • ソーシャルネットワークを構築する際には以下を心に留める
    • ソフトな紹介なしに新しい人に連絡を取る際は、共通点を見つける(例:同じ分野で働いている)
    • 相手のことを考え、自分のことではない:寄生的な関係という文脈を排除する
    • 広さではなく深さを作る:ネットワークに時間と一貫性を捧げる。毎日の投稿やSnapchatではなく、パーソナライズされたメール、テキスト、…を書くこと。一貫性が鍵
  • ネットワーキングは賢く行う:ネットワークの構築には時間がかかる。良いアプローチは、誰かに電話する際にマルチタスクする方法を見つけること。例:通勤中に
  • 誰かとの最初の出会いの後にフォローアップする

この本に対する私の意見
#

著者たちは各章で多くの良い点や有益なポイントを述べていると思います。少し気になった点としては:

  • すべてのアドバイスが自分に合っているかどうか、自分自身に問いかけた方が良いかもしれません。例えば、ある箇所では、エンゲージメントを得るためにLinkedInの投稿のコメントに人をタグ付けすることが提案されています。個人的には、正当な理由なくタグ付けされると困りますが、人それぞれです
  • 一部の箇所では、オンラインドキュメントへのリンクを提供した方が良いと感じました。特に、WebGoatのインストールと使用方法の部分です(また、個人的にはHack the Boxのようなものを勧めます)
  • 本に複数の著者がいるためかもしれませんが、同じポイントを繰り返している箇所がいくつかあり、時々つながりが少し分かりにくいと感じました

とはいえ、以下のような状況にある方には、この本を読むことを強くお勧めします。多くの良質で実践的なアドバイスと知識が含まれており、きっと役に立つでしょう:

  • 学生の方、またはキャリアを始めたばかりの方(セキュリティを学んでいる方は、CIAの概念などが定義されている部分は飛ばしても良いかもしれません)
  • セキュリティの経験がなく、セキュリティ業界に入りたいと考えているキャリア中盤のプロフェッショナルの方。この場合、本の前半はセキュリティに慣れ、経験を積む方法を知るのに役立つでしょう。後半はセルフブランディングの部分を除いて、やや役立ち度が低いかもしれません