• 概要
• 筆者の立場
• 重要だと感じること
  • 基礎知識
  • 自主学習
  • コミュニティへの参加
• 大学という場所
  • 基礎知識を身につけるための大学
  • 自主学習のための大学
    • Q.大学の通常授業ではだめなの？
  • コミュニティとしての大学
  • どの大学を選ぶ？
    • Q.情報セキュリティは理系？文系？
    • 大学選びで重要なのは何を中心にどう学びたいか
      • どの分野を学びたいかはっきりしている場合
      • 複数の分野を学びたい場合
      • ざっくりと「セキュリティを学びたい」としか考えていない場合
    • 勉強したい分野を絞るには
• 課外活動で学ぶ
  • enPiTのSecCapに参加する
  • セキュリティ・キャンプ(地方大会、全国大会)やSecHack365に参加する
• 情報収集の方法
• その他コミュニティ
  • 地域のITコミュニティ
  • オンラインのITコミュニティ
• まとめ
• 参考

概要

とある場所で「情報セキュリティを学ぶにはどの大学が良いか」という質問を見かけたので自分の考えをまとめました。
本エントリーは情報セキュリティを学びたいと考えている中高生や現在情報セキュリティを学んでいる学生をターゲットに書いています。

筆者の立場

筆者は現在、長崎県立大学 情報システム学部 情報セキュリティ学科で学んでいる学生です。本エントリーはあくまで一学生としての考えです。

重要だと感じること

私が重要だと感じることは以下の3つです。

基礎知識

セキュリティは基礎知識の上に成り立つものです。個人的にはITパスポートから基本情報技術者のテクノロジ系出題範囲レベルの知識は必須だと考えています。机上での理解に加えて実際に演習(手を動かして理解)しておくとなお良いと思います。(特にLinuxの基本操作など)

Linux基本知識については下記を参考
Linux入門講座 - Speaker Deck

自主学習

自分で掘り下げて自己満足するまで学習するのが一番です。自分の興味のあることを自分で学び(理解し)、実践することが大切だと考えています。

コミュニティへの参加

知識の習得、情報収集、モチベーションの維持(刺激を受ける)、繋がりを広げるためにもコミュニティへの参加が大切だと感じています。

大学という場所

「情報セキュリティを学ぶのに大学で勉強する必要はない」という意見を言う人もいます。極論を言えば上記の3点の環境をそろえられるのであれば大学に拘泥する必要はないと思います。ただし知識なし、スキルなし、コミュニティとのつながりなしの状態から上記3点の環境を効率よくそろえるには大学に行くのが一番良いと感じています。

基礎知識を身につけるための大学

大学によってはITパスポートや基本情報技術者の取得を進級、卒業要件にしているところもあります。机上だけの基礎知識であれば多くの大学の授業で学ぶことができると思います。カリキュラムにこれら基礎知識を確認する演習(プログラミング、アルゴリズム、ネットワーク構築などの演習)があるところはなおよいと思います。

自主学習のための大学

基礎知識以上のものは興味に合わせて自分で学ぶ必要があります。自主学習のために先生方を頼ったり、大学図書館で最新の技術書を借りることができます。(大学図書館になければ購入希望や取り寄せることも可能)

Q.大学の通常授業ではだめなの？

大学の授業は大抵一科目当たり90分×15回というところが多いです。限られた時間の中で発展的なことを授業中に扱うのは限界があります。また授業を受けている学生のスキルは様々です。よって発展的なことを扱わない授業もあります。
また、授業は必ずしもシラバス通りに進むとは限りません。特に2020年度は新型コロナウイルス対策で対面授業から遠隔授業(オンデマンド授業)に切り替わったこともあり、シラバス通りに進んでいない授業やシラバスが授業直前に変更されるということが多々ありました。以上のことから(先生方には申し訳ないですが)授業に期待しすぎるのはあまりよくないと思っています。

(授業が実際どんなものだったかを知るには授業を受けた学生の感想を聞く、授業資料を見せてもらうといいと思います。先生によっては外部に授業資料を公開されている方もいらっしゃいます。)

コミュニティとしての大学

大学の機能として個人的に一番大きいと思うのがこの"コミュニティとしての大学"です。私もCyber研究会という情報系のサークルに参加していますが、このようなサークルや大学内のコミュニティに参加して知識習得・情報収集・モチベーションを維持することが大切だと感じています。
またサークルだけでなく先生方との繋がりがあるというところも大学の良いところだと思います。運が良ければ先生経由で企業の方と共同研究をすることができたり、学会に学生アルバイトとして参加できたり、産官学連携してイベントを開催できたりします。
先生が民間企業や官公庁出身の場合は現場の生の声を聞けます。
このような経験ができるのも大学というコミュニティならではであると感じています。

どの大学を選ぶ？

Q.情報セキュリティは理系？文系？

テクノロジーをメインで学びたいということであれば言わずもがな理系(情報系学部、情報工学)だと思います。
ただし、下記のようなテクノロジーの周りにある情報セキュリティをメインで学びたい場合どうでしょうか？

• 情報セキュリティにまつわる心理学
  (例：標的型攻撃メールを信じてしてしまう人の心理、内部不正をする人の心理など)

• セキュリティインシデントがもたらす経済への影響

• セキュリティ関係の法律について

これらをメインに学びたい場合は必ずしもセキュリティ＝理系とは言えないと思います(理系の学部学科でも先生の専門分野に心理学、経済、法律などがあれば可能ですが)。
また仮に文系に進んだとしてもテクノロジーの勉強が全くできないかといえばそうでもないと思いますし、逆も然りだと思います。
ここで大切になってくるのは「何を中心に学びたいか」ということだと思います。

大学選びで重要なのは何を中心にどう学びたいか

理系にしろ文系にしろ大学選びは何を中心にどのように学びたいかが重要です。

日本の大学は学部の授業では基礎知識を中心に、研究室配属後から大学院にかけてセキュリティを学ぶというところが多く、学部の授業でセキュリティ分野をしっかり学ぶという大学は少数です(学部の授業でしっかりセキュリティをやるのは自分が知る限り、長崎県立大学 情報セキュリティ学科か立命館大学 情報理工学部 セキュリティ・ネットワークコースぐらいしかありません)。

それを踏まえて以下では3つの場合に分けてどのような大学がおすすめなのかを解説しています。

どの分野を学びたいかはっきりしている場合

ネットでの検索(「【学びたい分野】 大学」等のキーワードで検索)や情報セキュリティ関係の大学研究室一覧まとめ、論文(CiNii、Google Scholar等で検索、学会発表など)を見てどの大学を目指すか決めると良いと思います。あとは学費、地域、自分の学力との相談になると思います。
気を付ける点としては、自分が研究室配属される頃にその行きたかった研究室が存在する保証がないということです。よって学びたい分野を専門にしている先生が複数人いらっしゃる大学の方が安心です。

複数の分野を学びたい場合

情報セキュリティ関係の大学研究室一覧まとめや情報セキュリティ応用でリードする大学を見てそれぞれ自分の学びたい分野の先生がいらっしゃる大学を見つけるとよいと思います。
この際、長崎県立大学 情報セキュリティ学科や立命館大学 情報理工学部 セキュリティ・ネットワークコースのように情報セキュリティ関連全般が学べる大学というのも選択肢としてアリだと思います。
この場合も自分が研究室配属される頃にその行きたかった研究室が存在する保証がないという点には注意が必要です。

ざっくりと「セキュリティを学びたい」としか考えていない場合

セキュリティ全般が学べる大学(長崎県立大学 情報セキュリティ学科や立命館大学 情報理工学部 セキュリティ・ネットワークコースなど)をお勧めします。
ただしこの場合、研究室配属までに自分がどの分野に進みたいのかをはっきり決めておく必要があります。(要は大学入学から研究室配属までの期間をモラトリアムとして使うわけです)

勉強したい分野を絞るには

情報セキュリティにどのような分野があるのかを大まかに知るにはCTFに参加してみると良いと思います。CTFとはCapture The Flagのことで情報セキュリティの技術を競う競技のことです。Jeopardy形式のCTFでどのようなジャンルがあるのかを見ることで大まかな分野が分かると思います。

より詳細な実際の研究分野を知りたければ、論文を検索したり、学会発表(CSSやSCISなど)を調べたり聴講すると良いと思います。論文の内容を理解するのが難しければ雰囲気だけ感じ取るというのでもよいと思います。

また実際の学会誌を読んでみるのもよいと思います。情報処理学会のジュニア会員(小学生～大学学部3年生まで、登録年会費無料)であればネット上で見ることも可能です。大学図書館等で閲覧することもできます。

課外活動で学ぶ

以下は自主学習の手助けになる課外活動の紹介です。

enPiTのSecCapに参加する

文部科学省が主催しているenPiTという活動があります。その中のセキュリティ分野(SecCap)の授業に参加して知識をつけることもできます。これは大学の通常授業とは違い、大学教員 or 外部組織の方が授業や演習を行うというものです。
文科省主催ということもあってか授業、演習の質はある程度担保されているように感じます。
科目はそれぞれの大学で開講していますが、学内外関係なく好きな科目を受講することができます。科目群としては「専門科目」「演習科目」「先進演習科目」があります。
ただし、演習科目・先進演習科目は基礎知識があること前提となっているため、基礎知識をよく理解していない状態で履修すると演習についていけなくなります。

SecCapにはコース認定制度というものがあり(こちら参照)筆者も(学年の関係で本エントリー執筆時点では正式に認定されていませんが)Basic SecCap8認定相当の授業を履修しています。

主に学部3年生～4年生をターゲットにしているようですが、大学によっては学部1年生からでも履修可能です。

セキュリティ・キャンプ(地方大会、全国大会)やSecHack365に参加する

セキュリティ・キャンプ(地方大会、全国大会)やSecHack365に参加してセキュリティの知識やスキルを身につける方法もあります。これらは参加するための事前課題や年齢制限があるものなので誰でも参加できるというわけではありませんが、もし参加することができればかなり有意義なものになります。

参考 camera510pc7.hatenablog.com

情報収集の方法

人によって情報収集の方法は様々だと思いますが、自分はニュースサイトや有識者の方のTwitter、公的機関のTwitterから情報を得ることが多いです。

• ニュースサイトの例

www.security-next.com

cybersecurity-jp.com

• Twitterのリスト機能を活用した例

twitter.com

その他コミュニティ

セキュリティ要素の有無に関係なくITコミュニティを覗いてみるといいと思います。というのもこのようなコミュニティには業務でセキュリティをやっているという人も参加していて、そこで繋がりができることがあるからです。

地域のITコミュニティ

自分の地域のITコミュニティであれば(今はご時世的に難しいですが)オンサイトのイベントにも参加しやすいです。このような地域コミュニティを見つけるにはconnpassやTECH PLAYといったプラットフォームを定期的に確認しておくとよいです。
例として私のいる長崎、九州で活動しているコミュニティを上げておきます。

netfocs.connpass.com

naite.swquality.jp

minasapo.connpass.com

c4nagasaki.org

www.kyushu.gr.jp

オンラインのITコミュニティ

最近はコロナの影響もあり、オンラインのコミュニティが増えてきました。以下はオンラインで活動しているコミュニティの一部です。

yamatosecurity.connpass.com

japan-bug-bounty-forums.vercel.app

line.me

その他、slackやdiscord、LINEのオープンチャットで活動しているコミュニティもあります。

まとめ

自分の考えをつらつら書いていたら思ったより長くなってしまいました。(汗)
まとめると

• 「基礎知識」「自主学習」「コミュニティへの参加」が大事
• 上記の環境を整えるのであれば大学が最適
• 大学は「何を中心にどのように学びたいか」で選ぶ

といったところでしょうか

参考

tetsutalow.hateblo.jp

github.com

www.milive-plus.net