徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

情報系の学部学生です。セキュリティに興味があり、セキュリティをやるなら基本的なITの基礎知識が必要だと思い、応用情報技術者試験の資格を取得しました。

続けて、セキュリティのより深い知識を習得したいと思い、次の情報処理安全確保支援士の試験を受けようかと思って勉強しているのですが、
"学生の時は数学とかプログラミングとかアルゴリズムのような基礎を学ぶべき"
といったことをおっしゃっているプロ(と思われる方)がたくさんいらっしゃる(ようにみえる)ので、基礎を極めた方がいいのかと悩んでいます。

徳丸先生としては以下のどちらを優先するべきだとお考えでしょうか。

・セキュリティの知識を習得する(セキスペを受ける)
・プログラミング等の基礎をきちんとやる

(私としてはどちらも勉強する気持ちはあるのですが、学校でもある程度後者はやっていて、正直言うと前者をやりたい気持ちです。しかし色々な人の意見を読んで気持ちが揺れてしまっています...)

2022/01/01 14:27

もし質問者さんが、大学の情報系学部での予習・復習・課題などを存分に行っていて、それでも力が有り余っているのであれば、私からのアドバイスは特になく、好きなことをやられたらよいと思います。
ただ、質問文にはちょっと気になる表現があります。「セキュリティをやるなら基本的なITの基礎知識が必要だと思い、応用情報技術者試験の資格を取得」とありますが、もしも情報系学部での学習をしっかりやられているのであれば、「ITの基礎知識を身につけるための資格取得」は不要なはずだと思うのですよね。なぜなら、「基本的なITの基礎知識」を学ぶことは情報系学部での主要なテーマであるからです。

> 徳丸先生としては以下のどちらを優先するべきだとお考えでしょうか。
>
> ・セキュリティの知識を習得する(セキスペを受ける)
> ・プログラミング等の基礎をきちんとやる

こちらへの回答ですが、「基礎的なことこそ優先して取り組みべき」と思います。何事も基礎が先、応用は後にするべきだし、基礎こそ若いうちにやっておくべきだからです。
そういう意味では、「ITリテラシー」ではなく単に「リテラシー」の能力こそ早期に身につけるべきです。文字の読み書きくらいできると思う人が多いとは思いますが、難解高度な文章を自力で読み、筆者の意図を正しく把握した上で、論旨を批判し、あるいは論旨の上に自分の考えを追加・構築していくということです。理系の方には「長文を読むのは面倒くさい、やりたくない」と言う方も多いようですが、それはリテラシーが不足しているということです。リテラシーが不足した状態では、難解高度な概念を習得し、自力で発展させることはできません。それはぜひ学生のうちに習得しておくべき技能だと私は考えます。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか?

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵(短時間だけ有効な認証コードや認証URL)を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは?と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは?」という点が気になっています。パスワードが盗まれるリスクが1つ減るから良いのでは?とすら思ってしまうのですが・・。
itのセキュリティ業界って狭くないですか?
知ってる人にすぐ繋がるような。
ログイン機能に対するCSRFは、一般的なCSRFと比べてリスクが低いといえるでしょうか?
IE のサポート終了は、徳丸本第3版を執筆する理由になりますか?
徳丸先生の思う「ご自身の過去最高の殺し文句」は何ですか