Linux Professional Institute (LPI)は、最新の認定資格であるLPI Security Essentialsを正式に発表しました。私は公式トレーニングパートナーとして、この試験のベータフェーズに参加する機会を得たため、この試験をよりよく知り、感想を寄稿することができました。
私は決してサイバーセキュリティの専門家ではありません。20年以上のキャリアの中で、私は主にLinuxサーバーやオープンソースソリューションのサポートと管理に携わってきました。また、これらのテーマを教えることもあります。
そのため、試験プログラムのいくつかのテーマについては、専門的な仕事を通じて知っていました。また、日常的に目にする読書や会話、ビデオ、講義などを通じて、より表面的な知識も持っています。
試験のテーマは、専門家や学生がセキュリティの主要な概念を最も多様な側面から十分に理解していることを確認することを目的としています。ツールの設定やコマンドの使用など、極めて専門的な知識は要求されません。
最初のトピックである「セキュリティの概念」では、その名の通り、最も一般的なITセキュリティの概念、使用される主な用語、攻撃や脆弱性の種類、インシデントの名称と報告方法、障害が検出された場合の対処方法に関する問題が出題される予定です。
暗号化」では、公開鍵、秘密鍵、対称鍵、非対称鍵など、暗号の主要な概念について説明します。このトピックでは、HTTPS 上で証明書を使用する Web 接続のセキュリティ、および主に S/MIME と OpenPGP を使用する電子メールの安全な使用についても十分に理解することができます。さらに、このトピックでは、個人所有のデバイスやクラウドにおけるデータの暗号化についても取り上げています。
3つ目のトピックである「デバイスとストレージのセキュリティ」では、ハードウェアデバイス、IoT(Internet of Things)、およびそれらの相互接続であるUSBやBluetoothなどのセキュリティについて取り上げています。また、ソフトウェアアプリケーションにおけるセキュリティも取り上げ、主な脆弱性の種類やマルウェアについて解説しています。
ネットワークとサービスのセキュリティ」は、日常的に技術を使っている人なら誰でも知っている内容です。このトピックでは、主なプロトコル、インターフェースの種類、コンポーネントなどのネットワーク操作の主な概念に加え、クラウドの概念も取り上げています。また、ワイヤレスネットワークの安全な利用についても、主なリスクと脆弱性を軽減する方法を含めて説明しています。
最後に、「アイデンティティとプライバシー」では、認証、認可、機密性、プライバシーなどの概念を扱います。コンセプトの例としては、パスワードの安全な使用、ソーシャルエンジニアリング、アイデンティティとプライバシーに対する主な攻撃の種類などがあります。このトピックには、現在のデジタル環境において現在非常に重要なテーマ、特にストーキングやサイバーモビングも含まれていました。
やはり、以前は取り上げられている内容をすべて知っていたわけではないので、多少は覚悟して試験に臨みました。
通常は、LPI自身が「学習教材」のサイトで素晴らしい教材を公開しているのですが、ベータ版の時点では、まだそのような教材はありませんでした。
この場合、私の勉強法は、基本的に各分野の知識と、各サブテーマで言及されている主な用語をWebで検索することでした。例えば、”APT(Advanced Persistent Threats)とは何か”、”ブラックハットハッキングとホワイトハットハッキングの違いは何か “といった具合です。
トピックに深く潜る必要はなく、それぞれのテーマについて大まかに理解できれば十分です。最後に自問自答してみてください。「Bitlocker の主な機能を知っているか」、「HTTPS に関する主な概念を理解しているか」。自分の答えに納得がいったら、別のトピックの学習に進みましょう。
試験を受けてから全体の流れを最終確認した結果、Security Essentialsで扱う科目がいかに関連性の高いものであるかが明確に理解できました。このプログラムは、コンピュータ技術に携わる、あるいは携わろうとするすべてのプロフェッショナルが持つべきセキュリティの知識をカバーしています。さらに言えば、個人的にも仕事でも、日常的にデータや機密情報を扱う人であれば、誰にでも関係するテーマです。
つまり、Security Essentialsは、様々なレベルで情報セキュリティに関する知識を検証し、さらに刺激する、という約束事を完璧に実現しているのです。