毎年、情報セキュリティまたはコンピュータサイエンスの何千人もの卒業生が大学を卒業し、実際の仕事の準備がまったくできていません。ここでは、卒業生の最大のスキルギャップと、求職者が群衆からどのように際立っているかを強調した最近の調査の結果を見ていきます。
ほぼ毎週、情報セキュリティのキャリアを開始する方法についてアドバイスを求める読者から少なくとも1通の手紙を受け取ります。ほとんどの場合、求職者は、どの認定を取得する必要があるか、またはどの専門分野が最も明るい未来を持っているかを尋ねます。
より魅力的な候補者になるために、どのような実践的なスキルを習得する必要があるかを尋ねられることはめったにありません。私自身は証明書や卒業証書を持っていないことを常に警告しますが、情報セキュリティ部門の責任者や採用担当者と定期的に話し合い、現代の候補者の印象についてよく尋ねます。
典型的な答えは、非常に多くの候補者が実際的な問題の経験を欠いているということです。
もちろん、ほとんどの卒業生は実践的な経験が不足しています。しかし、幸いなことに、情報セキュリティのユニークな側面は、経験と基本的な知識が古き良き試行錯誤の方法で得られることです。
重要なヒントの1つは、コンピューターと他のデバイスが相互に作用する方法の基本を学ぶことです。これは、ネットワーキングが他の多くの学習領域を構築するための基本的なスキルであるためです。データパケットがどのように機能するかを深く理解せずにセキュリティで仕事を得るのは、最初に周期表を研究せずに化学エンジニアになろうとするのと少し似ています。
私の言葉を信じないでください。SANS Research Instituteは最近、284の異なる企業の500人を超えるサイバーセキュリティ実践者を調査し、求職者にとって最も役立つスキルと、最も不足しているスキルを見つけました。
調査の過程で、回答者は「クリティカル」から「オプション」までさまざまなスキルをランク付けするように求められました。なんと85%がネットワークの知識を重要または「非常に重要な」スキルとして挙げ、次にLinux(77%)、Windows(73%)、一般的な悪用手法(73%)、コンピューターアーキテクチャと仮想化(67%)、データ処理と暗号化(58%)。非常に驚くべきことに、プログラミングを重要または非常に重要なスキルとして挙げたのはわずか39%でした(すぐに戻ってきます)。
サイバーセキュリティの専門家は、これらの重要で非常に重要なスキルについて、潜在的な求職者をどのように評価しましたか?結果は圧倒的です:
| スキル | 基本的な問題でも解決できなかった候補者の数 | スキルを実証した候補者の数 |
|---|---|---|
| 一般的なハッキングテクニック | 66% | 4.5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
インスティテュートのリサーチディレクターであるアラン・パラーは、次のように述べています。 SANS。 「これらの課題に取り組み始め、ギャップを埋めるには、雇用主が期待しているが卒業生には見られないスキルを明確にする必要があることを提案しました。」
真実は、私が知っている最も賢く、最も鋭敏で才能のあるコンピューターセキュリティの専門家の中には、コンピューターサイエンスやコンピューターサイエンスの認定や学位を持っていない人もいます。実際、彼らの多くは大学に行ったり、大学を卒業したことはありません。
むしろ、彼らはそのトピックに情熱的かつ熱心に興味を持っていたので安全になりました、そしてこの好奇心は彼らに可能な限り多くを学ぶことを強制しました-主に読んで、試みてそして間違いを犯しました(多くの間違い)。
私は読者がこの分野で高等教育や認定を追求することを思いとどまらせるのではなく(これは多くの企業の基本的な要件かもしれません)、単に安定した高給の仕事を保証するものと見なさないためです。
これらのスキルの1つ以上を習得しなければ、非常に魅力的または優れた候補者とは見なされません。
しかし、どのように?
では、どこに焦点を合わせ、どこから始めるのが最適ですか?まず、知識を得る方法はほぼ無限にあり、探索できる深さに事実上制限はありませんが、学ぶための最速の方法は手を汚すことです。
私は誰かのネットワークや悪いサイトをハッキングすることについて話しているのではありません。許可なくこれを行わないでください。サードパーティのサービスやサイトを壊した場合は、バグバウンティプログラムを通じて報酬を提供するものを選択し、これらのプログラムのルールに必ず従ってください。
しかし、ほとんどすべてがローカルで再生できます。脆弱性をハッキングおよび悪用するための一般的な手法を習得したいですか?利用可能な 無料の リソースは無数にあります;特別に設計されたようなツールMetasploitのとWebGoat、などのLinuxディストリビューションカーリーLinuxのチュートリアルとオンラインチュートリアルの多くが付いています。加えて、そのような遊離侵入テストや脆弱性検出ツールが多数存在するNmapは、Nessusは、OpenVAS、とのNiktoは。これは完全なリストではありません。
独自のハッカーラボを編成します。これは、予備のコンピューターやサーバー、またはeBayやCraigslistで安価に豊富に販売されている古いPCで行うことができます。VirtualBoxのような無料の仮想化ツール、追加の機器をインストールすることなく、さまざまなオペレーティングシステムでの作業を簡素化します。
または、実験できる仮想サーバーをセットアップするために誰かにお金を払うことを検討してください。Amazon EC2は、優れた低コストのオプションです。 Webアプリケーションをテストする場合は、古いバージョンのWordPress、Joomla、またはMagentoなどのオンラインストアエンジンなど、独自のローカルネットワーク内のコンピューターに任意の数のWebサービスをインストールできます。
ネットワークを探索したいですか?TCP / IPに関するまともな本から始めて、ネットワーキングスタックと、すべてのレイヤーが互いにどのように相互作用するかをよく理解してください。
この情報を吸収しながら、知識を実践するのに役立ついくつかのツールの使用法を学びます。たとえば、ネットワーク管理者がネットワークとセキュリティの問題をトラブルシューティングし、ネットワークアプリケーションがどのように機能するか(または機能しないか)を理解するために使用する便利なツールであるWiresharkとTcpdumpを見てください。自分のネットワークトラフィック、Webブラウジング、および日常のコンピューターの使用を確認することから始めます。アプリケーションが送受信するデータ、方法、場所を確認して、コンピューター上でアプリケーションが実行していることを理解してください。
プログラミングについて
雇用者は、またはのような言語でプログラミングのスキルを必要としなくてもよいかもしれゴー、ジャワ、パール、パイソン、C、またはルビー。これに関係なく、1つまたは複数の言語の知識は、あなたをより魅力的な候補者にするだけでなく、さらなる研究とより高いレベルの習熟への進歩を促進します。
専門分野によっては、プログラミングを理解することによって、さらなるトレーニングの可能性が正確に制限される場合があります。
言語学習のアイデアに不安がある場合は、基本的なLinuxコマンドラインツールから始めてください。日常業務を自動化するための基本的なスクリプトの書き方を学ぶだけでも、すでに大きな前進です。さらに、シェルスクリプトの習熟度は、コンピューターに関連するほぼすべての技術的役割(特定のプログラミング言語を学習しているかどうかに関係なく)で、キャリアを通じてかなりの利益をもたらします。
助けを得ます
間違いありません。楽器や新しい言語を学ぶように、サイバーセキュリティスキルの習得には時間がかかり、ストレスがかかります。しかし、あなたが情報の全量に圧倒され、圧倒されても落胆しないでください。時間をかけて歩き続けてください。
これが、サポートグループが支援する理由です。真剣に。情報セキュリティ業界では、ネットワーキングの人間的な側面は、会議やローカル会議の形をとります。半定期的に志を同じくする人々とつながることが、あなたの正気とキャリアにとってどれほど重要であるかを過大評価することはできません。BSidesミーティング、DEFCONグループ、OWASPミーティング
など、これらのイベントの多くは無料です。..。ハイテク産業は依然として主に男性であるので、サイバーセキュリティ会議やのような女性に焦点を当てたグループの数があるCyberjutsuソロリティ、その他ここに記載されているが。
どこにも住んでいない場合は、お住まいの地域でいくつかの情報セキュリティ会議や会議が開催される可能性があります。しかし、たとえあなたが道を外れたとしても、これらの会議の多くは現在、事実上COVID-19の大流行のために開催されています。
要するに、雇用主があなたに当然期待するスキルをあなたに与える卒業証書や証明書を期待しないでください。これは公平である場合とそうでない場合がありますが、将来の雇用主とその分野での雇用機会に役立つスキルを開発および改善する必要があります。
読者は、初心者や学生のために何に力を注ぐべきかについて、独自のアイデアを持っていると確信しています。コメント欄でお気軽にご意見をお聞かせください。
参照: