IT業界にいるならば、スキルに関わらずセキュリティは重要という意識自体は誰しも持っていると思う。
新人の時などセキュリティの知識が不十分という自覚がある場合、システムに触れることが怖く感じることもあると思う。
正しいセキュリティの知識と観点を持つことは、システムを扱う勇気と、自分の仕事への自信を与えてくれるはずだ。
IPAの試験でもセキュリティスペシャリストが"情報処理安全確保支援士"という登録制の資格を得られる試験に変化したりと、世間的にもホットなジャンルだと思うので、初心者の方がセキュリティを学ぶためにおすすめな書籍を紹介してみようと思う。
IT業界ではない方にも一般教養としてお勧めできる本から、ITやシステム開発の現場で働く初学者の方向けくらいのものまでをイメージしてピックアップしてみた。
なお僕の個人的感覚だが、ざっくり以下の通り分類した。
基本の基本を学ぶ、入門レベルの本
情報セキュリティの基礎知識
セキュリティ初学者向けの一冊。
基礎レベルの情報でまとまってはいるが、イラストから受ける印象よりは深いところまで解説されている。
情報セキュリティに関わる技術という位置付けでインターネット通信や電子メールで使用される主要なプロトコルの解説もなされているため少しだけネットワークの知識もつく。
セキュリティのリスクというものは日常生活の中に潜んでおり、IT業界の方でなくてもPCやスマートフォンを扱うのならこの本に書かれている内容は押さえておいた方が良いと思う。
仕事で扱わないなら読み飛ばして良さそうな箇所もあるが、サイバー攻撃の主要な手法が解説されている辺りは覚えておきたいところ。
PCに入れるセキュリティソフトなんかを、お金がかかって鬱陶しいものと思われている方もいるだろうが、この本を読めば少し考え方が変わるかもしれない。
イラスト図解式 この一冊で全部わかるセキュリティの基本
"この一冊で全部わかる"とは行かないが、セキュリティに関わる技術が広く浅く解説されている入門書。
目次だけ見ると専門用語が羅列されているように見えるかもしれないが、どれもイラストと合わせ平易な説明がされているのでそこまで身構えなくても良い。
IPAの試験でもよく見るトピックが取り上げられているので、受験を考えているが試験対策本に入る前に軽く概要を掴んでおきたいという場合におすすめ。
図解まるわかり セキュリティのしくみ
他の入門書と同じようにセキュリティに関するトピックが広く掲載されており、一般家庭でも気をつけるべき攻撃手法から、企業のセキュリティ対策として押さえるべき技術などが満遍なく学べる。
特徴的なのは、組織としてどのようにセキュリティに対応していくべきかという観点と、セキュリティ関連の法律なども解説されている点だ。
見開きでテキストと図解で各トピックが説明されており、正直無理に図表にしなくて良さそうなものもあるが、視覚的にも心理的にも読みやすさは感じる。
あとkindle版が安い。
実践形式でセキュリティを学べる本
おうちで学べるセキュリティのきほん
おうちでどうやってセキュリティを学ぶのか気になったが、PCを使って実践形式で学習できるコンセプトの書籍だ。
レベル感的には他の入門書と同じくらいでエントリー用の1冊という感じだが、自宅などで自分でPCを触りながら学んでいっても良いという方にはおすすめ。
攻撃者側の立場によった演習などもあり、結構勉強になると思う。
それから個人的には、電子証明書の中を確認する演習が結構役に立つと思った。
僕だけかもしれないが、慣れているつもりでも証明書をブラウザからどうやって確認するか忘れることがある。
他の入門書レベルの本と比べると気持ち文字が多めなのと、PCを触って演習しながらなので少し読破に時間がかかるかもしれないが、実際に体験して覚えることの意味は大きいだろう。
動かして学ぶセキュリティ入門講座
実際に手を動かしながら、自宅のPCの設定を確認したり脆弱性を潰していったりする本。
セキュリティ全般の知識というより、端末を守ったり不正メールへ対処したりと、1ユーザーとして対策できる内容がメインになっている点が特徴的。
家のPCで試してみても良いし、職場のPCが適切な設定になっているか確認するのも良いだろう。
会社のセキュリティ担当者として読むとしたら、もう少し広い範囲を学習する必要があると思うが。
意外と見落としがちなクライアント(PC)の設定について言及されているので、他の入門書と組み合わせて学んでいけると良いだろう。
現場で使えるレベルの知識を身につけられる本
マスタリングTCP/IP 情報セキュリティ編
ネットワークの教本としてお世話になった人も多いだろうマスタリングシリーズの、情報セキュリティ編。
マスタリングといえば入門書の定番のイメージが強かったのだが、こちらは完全初心者には少し難しいかもしれない。
特に暗号化アルゴリズムや電子証明書で使われる鍵交換技術の解説が詳しく、 IPAなどの試験対策にも役立つ内容だと思う。
タイトルにTCP/IPとある通りもともとネットワーク系のシリーズ本なので、セキュリティに関連が深いプロトコルの仕様も学べて業務で使える知識も増えるだろう。
完全初心者にはきびしいかもしれないが、基本情報を持っていたり職場の研修で基礎的な知識を身につけているレベルであれば手を出していいと思う。
中身はまさに技術書っていう感じの文体とレイアウトなので、そういうのが苦手でなければぜひ。
暗号技術入門 第3版 秘密の国のアリス
セキュリティという分野に関わらず、個人的に技術書全般の中で好きな一冊。
暗号化技術に特化した本なので扱われてるトピックもそれに関連したものになるが、特に電子証明書とSSLプロトコルあたりの説明はかなり役立つ。
暗号化技術の歴史や技術進歩の歩みも丁寧に解説されており、正直読み飛ばしてしまっても差し支えない内容なのだが純粋に読み物として面白く、それ以降の内容に対する関心度が増してくるかもしれない。
暗号化技術自体にもかなり詳細な説明がされており、難しい印象を受けるかもしれないが実際わりと難しい。
本来は高度な数学の知識などが必要となる分野なのだが、著者の配慮によりできる限り易しい説明がされているのだそうだ。
その上でも僕の能力では易々と理解することが叶わなかったが、何度か読んで腹落ちした時は気持ちよかった。
その意味では、わかるまで読んでみようと思えるレベルの無理すぎない難易度だったとは思う。
まあ暗号化アルゴリズムの詳細な使用まで覚える必要のない方は、主要なアルゴリズムの名前とそれが安全か脆弱性があるか、くらいを押さえておければいいと思う。
たまに暗号化アルゴリズムの細かい仕様がIPAの試験に出るけど。
難しい題材を扱いながらも文体がまるで読者に寄り添ってくれるようで、著者の優しさを感じる。
体系的に学ぶ 安全なWebアプリケーションの作り方
エンジニアの中でもアプリケーション開発の担当、特にWEB系のシステムを扱う方には必読書といっても良いほど大切な情報が含まれている。
セキュリティの基礎的な部分から、少し技術的な前提知識が必要になる内容までが幅広く扱われている。
そのため、他の入門書で基礎的な学習を進めてから読んだ方が良いと思うが、いずれはこの本まで辿り着いて欲しい。
ローカル環境にインストールした仮想マシンを使って、実際にPCを触りながら脆弱性の演習を進めることもできる。
設定のサンプルでPHPなどのコードが記載されているので、ある程度プログラミングの知見がある方がが望ましいが、それ以外のところを読むだけでも勉強になる。
分量が多いので開発の際に辞書的に使っても良いだろう。
なおkindle版が欲しい方は、固定レイアウト版とリフロー版の2種類があるのでご注意を。
固定レイアウト版は、紙の書籍と同じレイアウトが固定で表示されるので、PCなど大きめな画面で読める環境に向いている。
一方でリフロー版は、デバイスによる画面の大きさに合わせてテキストの行数や幅が自動で調整されるものだ。
