株式会社わくわくスタディワールド

セキュリティを学ぶ前にネットワークを学ぶ

今日,情報セキュリティスペシャリスト試験対策の研修を行っていて,改めて感じたのが,「ネットワークがわかってないと,セキュリティは学びづらい」ということでした。
システムエンジニア向けの研修だと,システム開発などは良いのですが,ネットワークが苦手という人は結構多いです。

もちろん,ネットワークスペシャリスト試験レベルまでやる必要はないのですが,例えばOSI基本参照モデルやTCP/IPプロトコル群,HTTPやSMTPのシーケンスなど,知っておく必要があることは結構あります。
特に,平成24年以降ぐらいの問題は,前提知識としてのネットワークを求められる問題が多いです。

もともと,情報セキュリティは,ネットワークの分野から派生した一分野です。
平成12年ぐらいまでは,おもにセキュリティ関連の問題は,ネットワークスペシャリスト試験で出てきていました。
最初にセキュリティポリシに関する問題が出てきたのは,確か平成10年ぐらいのネットワークスペシャリスト午後2だと思います。

ですので,セキュリティを学ぶ前にネットワークを学ぶ方が,順番として自然です。
TCP/IPプロトコル群を中心に,インターネットに関わるネットワーク知識があると,セキュリティ技術の理解は格段に進むと思います。
セキュリティ分野の内容が難しく感じる場合には,「やさしいセキュリティ本」などを読んでもあんまり意味はなくって,それよりはネットワークの基礎を固めた方がいいと思います。

対象試験区分は違いますが,「徹底攻略 ネットワークスペシャリスト 教科書 平成25年度」を使っていただけると,情報セキュリティスペシャリストには十分なネットワーク知識は身につくと思います。
個人的には,難易度はともかく勉強の順番的には,ネットワークスペシャリストの勉強を先にする方がいいのかな,とも感じています。

受かるかどうかはともかく,ネットワークスペシャリストの勉強をひととおりやってから,情報セキュリティスペシャリストの勉強をすると,すごく簡単に感じると思います。
これは内容が簡単だから,というより,ネットワークの基礎があるとセキュリティは理解しやすいからです。

最近の攻撃は特に,ネットワークが分かっていないと理解できないものが多くなってきました。
今年午後1で出題されたDNSキャッシュポイズニングは,DNSの仕組みを理解した上で攻撃手法を理解する必要があります。
クロスサイトスクリプティングやクロスサイトリクエストフォージェリなど,Webアプリケーションに対する攻撃は,HTTPプロトコルに関する理解は欠かせません。
標的型攻撃メールは,かなり巧妙にSMTPやPOPなどの穴をついてきますので,メールプロトコルの深い理解が大切です。

ですので,最近ネットワークセキュリティの出題頻度が高いのは,別に,「セキュリティ技術者にはネットワークが必要だから」と出題者側が考えているというわけではないと感じています。
単純に,「今流行りの攻撃」について出題すると,必然的にネットワークの知識が必要になってくる,ということだと思います。
標的型攻撃を中心に,より高度な攻撃が出現すればするほど,暗号化や認証などのセキュリティ技術だけでは守り切れなくなってきています。

もし,「セキュリティの勉強を始めたけど,過去問が全然わけがわからない」と感じるようでしたら,まずはネットワークについて学んでみるのがおすすめです。
勉強は積み重ねなので,段階を飛ばして頑張ろうとしても,砂の城を建てるような感じになってしまいます。
一見遠回りでも,事前に必要な勉強をやってから戻ってくるというのは大切です。

自分の立ち位置を客観的にふり返りつつ,適切な場所から勉強をしていきましょう。
その方が楽しいですし,結果的に早く実力をアップさせることが可能です。