Security Essentialsを誰もが学ぶべき理由
Security Essentials:ITセキュリティの基礎をすべての人へ
LPI はこのたび、新たに Security Essentials 認定をリリースしました。私たちがこのテーマに注目する理由は決して偶然ではありません。
今日では、IT セキュリティに関するニュースを目にしない日はありません。毎日のように、誰かのデータが身代金目的で暗号化されたり、個人情報が盗まれたり、新たな脆弱性が発見されたりしています。
こうした出来事は技術的で難解に見え、どこか自分とは無関係の遠い世界の話のように感じるかもしれません。しかし、これらの攻撃の多くは、実際には私たち一人ひとりに直接影響を及ぼす可能性があります。
IT セキュリティ攻撃の中には非常に高度で、個人レベルでは到底対処できないものもあります。しかし、すべての攻撃が、たとえば SolarWinds への攻撃のように複雑で大規模なものとは限りません(ぜひ調べてみてください。学べることがたくさんあります)。
一見すると些細に思える攻撃でも、十分に効果を発揮する場合があります。たとえば、銀行を装った新しいオンラインポータルに何の疑いもなく個人情報を入力してしまう人がいます。勤務先からの解雇通知を装ったメールの添付ファイルを、深く考えずに開いてしまう人もいます。また、休暇中の写真を SNS に公開することもあります。一見無害に見える行為ですが、攻撃者にとっては、その情報を利用して会社へ電話をかけ、「休暇中の社員の代理」を装い、情報を引き出して混乱を引き起こすきっかけになり得るのです。
これらは日常的に起こり得るミスですが、深刻な結果を招く可能性があります。デジタル機器を利用する人であれば、遅かれ早かれこうした脅威に直面するでしょう。時には、ほんの一瞬の不注意が原因になります。
私自身も、かつてクリスマス休暇の前日にクレジットカードを利用停止にされたことがあります。原因は、不正に改ざんされた ATM を利用していたことに気付かなかったためでした。その事実を知ったとき、自分ではセキュリティ意識が高いと思っていただけに、なぜ危険な ATM だと気付けなかったのかと自問しました。
幸いにも銀行の補償を受けることができました。しかし、自分が開いたメールの添付ファイルがきっかけとなり、会社中のサーバーが暗号化されてしまうような事態を望む人はいないでしょう。
Security Essentials では、こうした危険性について認識を高めるだけでなく、それらに適切に対処するための方法も提供したいと考えています。私たちは、すべての人が IT セキュリティの基礎を理解できるようになることを目指しています。
個人情報の取り扱い方、メール添付ファイルへの対応方法、フィッシング攻撃への対処方法を学ぶことに加え、優れたセキュリティ教育には一般的な知識も欠かせません。
たとえば、Web ブラウザが「この接続は安全ではありません」と表示するのはどういう意味なのでしょうか。また、そもそも「安全な接続」とは何を指すのでしょうか。
これらは一見単純な質問ですが、その答えを理解するためには、秘密鍵、公開鍵、証明書といった概念を知る必要があります。
こうした基本概念も試験範囲に含まれています。ただし、それは脅威と対策を理解するために必要な範囲に限定されています。
受験者は、企業がすべてのデータへのアクセスを失ったというニュースや、オンラインショップから顧客情報が盗まれたという報道、世界中のメールサーバーに脆弱性が発見されたというニュース、あるいはボットネットがあらゆる IT インフラに対して攻撃を仕掛けているという報道の背景に何があるのかを理解できるようになります。
また、一般的なセキュリティ上の脅威を認識し、それらを軽減する方法も身に付けることができます。
この知識は、IT セキュリティ分野でのキャリアを築く出発点にもなり得ます。しかし何より重要なのは、この知識が私たち自身と、私たちを取り巻く環境を守るための基盤となることです。
実際には、私たちが普段 IT セキュリティと結び付けて考えない人たちこそ、こうした専門知識から最も大きな恩恵を受けることがあります。
セキュリティ攻撃は、必ずしもネットワークインフラを通じて行われるわけではありません。メール、落とし物の USB メモリ、電話、あるいは Wi-Fi のパスワードを尋ねてくる「新しい同僚」など、攻撃はあらゆる企業の受付窓口に現れる可能性があります。
Security Essentials では、こうした知識も取り扱います。また、一般的なセキュリティ入門の枠を超え、幅広いテーマを深く掘り下げて学びます。必要に応じて理論的な基礎も提供し、トピックを本質的に理解できるようにしています。
Security Essentials は、LPI の Essentials シリーズの中でも、とりわけコンピュータに関する事前知識を持たない初心者を対象としています。必要な知識は無理のない範囲で習得でき、試験目標も明確かつ実践的です。
現在、Learning Materials と各言語への翻訳も準備を進めています。
また、私たちは試験費用をできる限り低く抑えるよう努めています。特に、学校や大学などの教育機関で学ぶ人々だけでなく、ある分野について体系的な入門知識を必要とする企業や個人も対象としています。
個人的にも、この新しい認定には大きな期待を寄せています。受験準備を通じて、受験者の皆さんが自分のデバイスやデータ、アカウントに対する攻撃を防げるようになるのであれば、私たちの取り組みには十分な価値があると考えています。
しかし、私たちの取り組みはまだ終わっていません。
現在も Security Essentials の Learning Materials 作成に協力してくださる方を募集しています。ご興味のある方は、ぜひご連絡ください。
IT セキュリティは非常に魅力的な分野です。試験に向けて学習する場合でも、学習教材のレッスンを執筆する場合でも、あるいは知識を深めながらキャリアを発展させていく場合でも、その面白さは変わりません。
今後の LPI ブログでは、LPI パートナーの皆さんから寄せられた知見も交えながら、Security Essentials についてさらに詳しく取り上げていく予定です。
それまでの間、すべての受験者の皆さんが学習を楽しみ、試験で成功を収められることを願っています。
