よもやま

「セキュリティに興味があるのですがどうしたらいいかわからない」という方向けに私が提供できるコンテンツを紹介します

  /

どうも、野溝のみぞうです。趣味でサイバーセキュリティをやっている者です。

私は色んなセキュリティ系勉強会なりイベントなりに顔を出していまして、初対面の方と交流を持たせていただくことも多いのですが、その中でこんな質問をお受けすることがあります。

「セキュリティに興味があるのですがどうしたらいいかわからない」

まあ、質問いただいている方もそれほど重いトーンで聞いているわけではないということも頭では理解していますが(単なる世間話レベルかもしれない)答える側としては真摯に答えようと思って色んなことを考えてしまうわけです。なぜならコミュ障のオタクだから!!早口で色んなことしゃべっちゃう!!許して!!

なので、私が特に初心者の方にむけて作っている本だったりコンテンツだったりやっているイベントだったりについてまとめてご紹介したいと思います。ビジネスチャンスかもしれないし。

ホワイトハッカーって200色あんねん

…というのは冗談ですが、セキュリティに色んな分野や職種やかかわり方があるのは事実です。なのでひとくちに「セキュリティ」と言ってもいろんな切り口がありますし、おすすめできる本やコンテンツやイベントなどはとてもたくさんあるのですが、今回は私が自分で中心となって関わっているものを紹介しているだけであることはご了承ください。

もくじ
  1. 初心者向けの本
  2. 初心者向けイベント
  3. 初心者向けコンテンツ
  4. まとめ

初心者向けの本

まずは本からご紹介します。

7日間でハッキングをはじめる本

amazonレビューにも書いていただいていますが「ハッキングに興味はあるけど何からやっていいのかわからないひと」を想定して書いています。ハッキングやペネトレーションテスト、レッドチームについて書いてある類書はたくさんありますが、なるべくやさしく楽しく遊ぶように学習が進められるように工夫してあります。

ただし、基礎的なLinuxの操作はできることある程度必要になっていますので、黒い画面を触ったこともないという方は後述の「1時間でLinuxと友達になる本」を先に取り組んでいただけるとスムーズです。

今年の8月に翔泳社様より上梓させていただいた本です。ありがたいことに好評をいただいておりまして、今4刷です。レビューなど詳しいことが知りたい方は、感想ツイートなどまとめたものがあるのでそちらをどうぞ。

Togetter [トゥギャッター]
外部リンク
7日間でハッキングをはじめた人たちのまとめ
https://togetter.com/li/2474181
7日間でハッキングをはじめる本に関する感想を集約しています。みんなでハッキングをはじめよう!ハッシュタグは #7日間ハッキング です

1時間でLinuxと友達になる本

nomizone.booth.pm
外部リンク
1時間でLinuxと友達になる本 #のみぞーん #1時間Linux - のみぞーーーん - BOOTH
https://nomizone.booth.pm/items/6243981
本書は、はじめてLinuxに触る方向けの気軽に楽しく学べる入門書です。 難しい専門用語や複雑な設定は最小限に抑え、環境構築不要で、TryHackMeという無料のサービスを使ってWEBブラウザ上でサクッと簡単にLinuxを体験できる方法を紹介しています。 黒い画面が怖いと感じる人でも、実際にコマンドを打ちながら、ディレクトリやファイル操作、コマンドの連携方法まで、実践的に学べます。また、特典として購入者限定の追加コンテンツもございますので、特にサイバーセキュリティに興味のある方におすすめです。 ※追加コンテンツについて

薄い本なので本当に1時間で終わります。lsやcd、nanoなどのLinux(Ubuntu)のファイル操作を中心として基礎的なコマンドを実践的に学べます。

ブラウザ上でLinuxが動くサービスを使うので環境構築が不要であることがポイントです。

前述の「7日間でハッキングをはじめる本」も難しいという方向けに書いた、基礎的なLinuxコマンドを速習できる同人誌です。

実はこの本をお買い上げいただけると、前述の「7日間でハッキングをはじめる本」の元ネタ(底本)になった「TryHackMeで学ぶ、ハッキングを2時間ではじめる本」の電子版が無料ダウンロードできます。(ダウンロード方法は本の中に書いてあるので読んでね)

nomizone.booth.pm
外部リンク
 
TryHackMeで学ぶ、2時間でハッキングをはじめる本 - のみぞーーーん - BOOTH
https://nomizone.booth.pm/items/4337301
セキュリティ防御のためのハッキング学習プラットフォーム「TryHackMe」のはじめかたを解説した本です。 サイバーセキュリティを学んでいる方は、ひとに迷惑をかけたり法に触れたりしないために、まず安全に攻撃を知ることのできる環境を整える必要があります。その点が、初心者にはハードル高く学習の障壁になっています。 初心者に必要な全てが用意されていて安心して簡単に始められるラーニングプラットフォームがTryHackMe(トライハックミー)です。 学習プラットフォームを利用して、学習環境を整えて最初の課題をクリアするまで...

つまり著者としてはこんなルートを想定していたりしますが、まあ好きなように読んでいただければいいかなと思っています。

ハードニングファン・リファクタ

nomizone.booth.pm
外部リンク
ハードニングファン★リファクタ #のみぞーん #ハードニングファン - のみぞーーー...
https://nomizone.booth.pm/items/5710739
8時間で衛りを変える!超実践的セキュリティ競技会「Hardening(ハードニング)」の紹介と、その競技会を通して学ぶセキュリティインシデント対応の具体的な事例を解説した本です。 複雑化するサイバー攻撃から自社のシステムを守るには、セキュリティ担当者だけでなく、事業に関わる全ての人がセキュリティに対する理解を深めることが重要…と、わかったつもりでも実践するのはなかなか難しいものです。 そこで、脆弱なシステムをさまざまな攻撃から守る体験を通して、企業に必要なセキュリティ対応を理解し、ビジネスに生きる学びを持...

前2つはどちらかというとレッドチーム(攻撃側)の視点にたった本ですが、こちらはどちらかというと防御側の本です。

Hardening競技会というシステムの堅牢化を行う大規模な競技会の紹介と、そこで行われる取り組みを通じて、サイバー攻撃から資産を守るにはどういうことが必要なのか具体的に考える本です。Hardening競技会についての解説が含まれます。参加をご検討いただけるとうれしいです。

初心者向けイベント

さて、ここからはイベント系(コミュニティ)をご紹介します。興味あるなーという方はぜひconnpassやxをフォローしてください。

ひよこまめ教習所

connpass
外部リンク
サイバーひよこまめ
https://cyber-hiyokomame.connpass.com
サイバーひよこまめ

攻撃するだけ(レッドチーム)、攻撃を受けるだけ(ブルーチーム)、という勉強会は他のコミュニティでも割と行われていると思うのですが、両方やりたかったのでイベントを立ち上げました。サイバーひよこまめは運営チームの名前、ひよこまめ教習所はイベント名です。

日本全国で開催して回るのが夢?

攻撃も防御もどっちもやりたい!できればやさしくハンズオンで教えてほしい!というニーズに答えるのがひよこまめ教習所です。のみぞうは運営スタッフと講師やってます。

自分のPC内に攻撃用マシンとやられ役マシンを仮想的に構築し(手順書あるので難しくないです)実際に脆弱性をついた攻撃をやってみる⇒脆弱性を直してみる⇒攻撃が通らないことを確認してみる。というのをハンズオンで全員の進捗を確認しながらゆっくりやります。

前回開催した記録はこちら

攻撃と堅牢化のハンズオン!Hardening初心者を救う「ひよこまめ教習所」を開催した記録 どうも、野溝のみぞうです。最近本を出版したりとても充実した生活を送っていますが、忙しい中でもどうしてもやりたかった取り組みを実現するこ...

Offensive Security Lab Japan

connpass
外部リンク
Offensive Security Lab Japan
https://off-sec-lab.connpass.com
Offensive Security Lab Japan

オフェンシブ、つまり攻撃よりのセキュリティに特化した勉強会です。登壇者の発表をききながら脆弱なマシンの攻略に取り組むのが基本スタイルです。

初心者の方だと難しい部分があるかもしれませんが(セキュリティの初心者というのもかなり幅のある表現だと思っているので微妙ですが)、話を聞いているだけでもOKなのでぜひ攻撃側に興味があれば軽率にどうぞ。のみぞうは運営スタッフとたまに登壇や作問をやっています。

本体のイベントは最近運営陣がみんな忙しくてあんまりできていませんが、Villageという個別のテーマを持ったサブプロジェクトがありまして、最近はそちらも活発です。運営陣でやりたい人が村長になって各自やりたいことをやっているイメージです。一見さん大歓迎なので興味があれば見に来てください。

CTF for GIRLS

CTF(Capture The Flag)とは、情報セキュリティの分野で専門知識や技術を駆使して隠された答え(Flag)を見つけ出す競技の総称です。競技人口は男性が多いのですが、そんな中、女性限定で活動しているコミュニティがCTF for GIRLSです。

参加資格は女性であることです。のみぞうはスタッフと時々講師とか作問とかをやっています。初心者向けの内容が多いです。年に2~3回、ワークショップやCTFの大会などをやっていますので覗いてみてください。オンラインコミュニティもありますよ。

初心者向けコンテンツ

変わった面白コンテンツをつくってるのでついでに紹介します

ナゾトキCTF~入社試験からの脱出 クローズドゲームEdition~

nomizone.booth.pm
外部リンク
 
ナゾトキCTF〜入社試験からの脱出~クローズドゲームEdition - のみぞーーーん - B...
https://nomizone.booth.pm/items/4698616
2022年に開催して好評をいただいたナゾトキCTFを内輪で気軽に楽しめるようにパッケージにしました。 ご購入後ご自身でサーバを立てていただくことでいつでも好きな時間に楽しむことができます。以下の利用規約と注意事項をご確認の上でお買い上げください。 一人で遊ぶもよし、お友達と一緒にわいわいするもよし、新入社員の教育コンテンツにするもよし、使い方はご自由にどうぞ。 問題は2022年度に出題されたものとほぼ同じです(パッケージ化の都合と作者の遊び心で一部改変された箇所があります) 問題サーバにはCTF大会でポピュラ...

前述のCTFと今流行ってる脱出ゲーム(謎解き)を組み合わせた特殊コンテンツです。問題をパッケージ化して誰でも使えるようにして売ってます。

お買い上げいただくと自分でCTFのゲームをプレイできます。サーバ構築が必要ですがマニュアルがあるのでそんなに難しくないと思います。1人でもプレイしても良し、お友達や会社の同僚などとわいわいプレイしていただいてもよしです。

ほぼ同じ謎でオープンゲームをやったことがありまして、そのときのブロクです。

セキュリティを遊べ!ナゾトキCTFを開催しました こんにちは、のみぞうです。ふと思い立って24時間の期間限定CTF大会を主催しました、とりとめのない文章ですが、振り返っておこうと思いま...

まとめ

今のところ私が提供できるのはこんな感じです。

私はどちらかというと初心者向けのものをつくるのが好きなのですが(いつもン10年前の自分にむけてものをつくっています)それは人に教えたいというよりも、一緒に遊べる友達が増えたら嬉しいくらいの気持ちでやっているので、網羅的にアカデミックに学びたいという方には向いてないかもしれません。総じて、愉快に楽しく軽やかにやっていきたい方向けかなあと思います。

今後もいろいろつくったりやったりしていきたいと思っていますので、よかったらみてやってください。登壇依頼や勉強会うちでやってくれ的なリクエストは気軽に応じてます。

初心者向け
こちらの記事もおすすめ