この記事はオンライン講座Udemyで開講されている『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』の受講レビューです。
ふと自分のセキュリティに対する認識は正しいのか、安全なのか不安になったことはありませんか?
ぼくは社内システムのパスワード変更を強制されたときにめちゃくちゃ疑問を持ちました。
- 3か月に1回変えろ
- 大文字小文字記号を必ず混ぜろ
- 3世代前のパスワードまでは同じものを使ってはいけない
これらはどれだけ安全なセキュリティに貢献しているのでしょうか?
この疑問はWebアプリケーション製作の勉強の中で、疑問から不安に変わりました。
データベースにパスワードを登録する。
どうすればセキュリティを担保できるのか…
不安を解決できればと受講してみたのがUdemyの『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』講座。
この講座を受けることで、情報セキュリティに対する意識がガラリと変わりました。
この記事を読んでいる方はきっと情報セキュリティに対して何らかの思いを持っている方でしょう。
Webサービスへのアカウント登録もしていると思います。
自分のアカウント情報はどうやって守りますか?
不安を感じた方は、このホワイトハッカー入門の講座を受講して、クラッカー(ハッキングを悪意を持って使う人々)がどんなことをしてくるか、それを防ぐにはどうしたらいいか、ぜひ考えてみてください!
■ 目次 ■
Udemy(ユーデミー)とは?
Udemyはオンライン学習サービスのひとつです。
たくさんの講座の種類があって、動画でITスキルや英会話・ビジネススキルなどを学べます。
ITスキルのオンライン講座といえば、“Progate”や“ドットインストール”といったオンライン講座があります。
それらは無料である程度受講できる一方で、すべての講座を視聴するには月額の会員にならなくてはいけません。
その点、Udemyは講座1つにつき料金が決められているので、参考書を買うような気軽さで受講できます。
しかも、30日間の返金保証までついているので、試しに受講してみて先生が合わなさそうだったらやめるという選択もできます。
Udemyは公式アプリもリリースされています。
通勤や家事の途中など、隙間時間で学習できるよう工夫もされています。
プログラミングはUdemyで講師と一緒に動画で勉強するのをオススメしています。
一緒にオススメ!プログラミング学習にオンラインサービス“Udemy”をオススメする5つの理由
で詳しくはご覧ください。
どんな人に『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』はオススメ?
オンライン講座Udemyで学習できる『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』。
いったい、どんな方にオススメの講座なのでしょうか?
オススメなのはズバリ、こんな方々!
- Webアプリ開発に仕事でかかわりはじめた若手社会人
- Webセキュリティに対して不安を抱いている方
本来であれば、こうやってブログを読んだり、Twitter・FacebookなどWebサービスに登録したりしている人みなさんにオススメしたいです。
しかし、それだと門戸が広すぎるので特にオススメな方々をあげました。
Webアプリ開発に仕事でかかわりはじめた若手社会人
この講座ではホワイトハッカー(開発したアプリケーションのセキュリティチェックなど、ハッキングを良い方向に使う人々)視点が手に入ります。
ですので、どのようなシステムを作ればハッカーに襲われにくいかということがわかります。
何気なくアプリケーション開発をしていると、知らぬ間にセキュリティに欠陥がある場合があります。
この講座をWebアプリ開発に携わりはじめた方が受講することで、アプリケーションのセキュリティ面に対する意識が変わります。
例えば、フォームの脆弱性についての講義があります。
フォームの入力の仕方次第ではなんと、データベースから情報を抜き出すことができるかもしれないそうです…
恐ろしや、恐ろしや…
その抜き出す方法を知っていれば防ぐ方法を考えることもできます。
他にもさまざまな脆弱性の指摘があります。
アプリケーション開発を実際に行う前に、脆弱性の攻撃方法を知って頑健なシステム設計を目指しましょう!
Webセキュリティに対して不安を抱いている方
WebアプリケーションのIDやパスワード管理って、実際どうするのが正解かわかりませんよね…?
でも一方で、ハッカーがどうやってIDやパスワードを入手するかもよくわかりませんよね!?
ハッカーがIDやパスワードを調べることを“列挙”というそうです。
この列挙の方法も具体的に学ぶことができます。
列挙の方法を知ると、IDやパスワードをどう設定すればいいか、どう管理すればいいかが少しはわかるようになります。
少しはと書いたのは、自分ではどうしようもない部分・システム上どうしようもない部分があるからです。
ですが、何も対策をしないよりは、自分で学習してちょっとでも対策をした方が安心できます。
一般の人は詳しいところまでは勉強する必要ないかもしれません。
一通り浅く学習するこの講座は、少しでもセキュリティに不安があって払拭したい方にはぴったりです。
『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』に期待したこと
この『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』を受講するにあたり、期待していたことは次のようなことでした。
- 情報セキュリティに対する知識が身につき、Webアプリケーション開発などで脆弱性の少ないシステムを構築できるかも
- ハッキング技術が身につき、ホワイトハッカーとして活躍できるようになるかも
- システムの提案をする上でセキュリティ面も考慮したシステムを提案できるかも
- システムにトラブルがあったときにログなどを解析できるかも
情報セキュリティに対する知識が身につき、Webアプリケーション開発などで脆弱性の少ないシステムを構築できるかも
まずはじめに『情報セキュリティに対する知識が身につき、Webアプリケーション開発などで脆弱性の少ないシステムを構築できるかも』という期待について。
この期待は実現可能そうでした。
具体的な攻撃手法は数多くあげられたわけではありませんが、攻撃者視点でどこが狙いどころか学ぶことはできました。
その狙いどころに対策を施せば、セキュリティは硬くなるということです。
学ばないよりは学んだ方が確実に脆弱性の少ないシステム構築ができるでしょう。
ハッキング技術が身につき、ホワイトハッカーとして活躍できるようになるかも
この『ハッキング技術が身につき、ホワイトハッカーとして活躍できるようになるかも』という期待は、残念ながら実現できそうにありませんでした。
というのも、この講座では座学中心。
手を動かして実際にハッキング技術を学ぶということはありませんでした。
Udemyの講座紹介ページでは『ハッキング技術が身につきます』と書いてあるだけに、現場で活躍できるレベルまでいけるかと思ったら、そうではありませんでした…
もし具体的なハッキング手法を学びたいのであれば、この講座ではなく別の手法を用いた方がいいかもしれません。
システムの提案をする上でセキュリティ面も考慮したシステムを提案できるかも
『システムの提案をする上でセキュリティ面も考慮したシステムを提案できるかも』という期待はちょっとお門違いでした。
この講座で学習して、そもそもシステムを提案する段階ではセキュリティを考慮する必要はないのかもしれないと感じました。
セキュリティを考慮するのはシステムを構築する段階に総合的な判断が必要な気がしました。
また、こちらから提案できるほどセキュリティに詳しくなることはできていません。
餅は餅屋、セキュリティは専門家に任せるのが一番ですね。
システムにトラブルがあったときにログなどを解析できるかも
ハッキングにはログの改ざんも不可欠です。
そうなってくると、この講座を学習することでログの改ざんが行われそうなところ、それを発見して対処するにはどうすればいいかということも学べたらと思っていました。
実際に受講すると、ログの改ざん方法は学べますが、解析・対処については学べる部分が少なかったです。
ハッカーはなるべくバレないようにログを改ざんするので当たり前といえば当たり前ですね…
ただ、どうなっていればハッキングされた可能性があるかというのは学べたので、ハッキングの有無を確認できるようにはなりました!
『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』の概要
セクション1:はじめに
まずは講師の自己紹介。
ちょっと怪しげなおじさんが出てきますが、講師なのでご安心を。
講座の目的や諸注意を解説してセクション1は終了です。
受講に当たって準備運動のようなセクションです。
セクション2:情報セキュリティとホワイトハッカー
ホワイトハッカーとは何か、ハッカーとクラッカーの違いなど、とても初歩的なことからはじまります。
ハッカーとクラッカーの違いなんかは、普段はあまり意識している人は多くないと思います。
全体の内容を広く浅く説明する、とっかかりを作るセクションです。
なんとなく全体像を把握できる程度の受講で構わないでしょう。
セクション3:情報収集概論
ここからいよいよハッキングについて具体的な話になっていきます。
まずはIDやパスワードにつながる情報を集めるところからスタートです。
想像がつく方法、なんかドラマで見たことがあるかもという方法が出てきますが、実際ハッキングで使われていたとは…
そんな内容が出てきます。
日常生活で自分が収集している姿を想像するとちょっとワクワクする内容です。
セクション4:偵察技術
偵察技術は情報収集の一環です。
ネットなどをフル活用して、ターゲットに関する情報を入手します。
WebページやSNSからIDやパスワードに使われていそうな情報を集めてきます。
この辺りを見ると、
セクション5:スキャニング技術
いよいよハッキングらしくなってきます。
サーバの情報や入り込むにはどうすればいいのかの下調べをするセクションです。
専門用語が多くなってきます。
残念ながらある程度ネットワーク用語を知っている人向けの講座となっているので、専門用語の解説がなかったりします。
『入門』という講座名なのでしっかり解説して欲しかったです…
この辺りから実際にやると犯罪になってしまうようなので、くれぐれも知識としてとどめておくようにしましょう!
セクション6:サーバへの攻撃
下調べを終えたらターゲットへ侵入です!
どんな方法で侵入するか、パスワードはどうやって突破するか、いろいろいじれるような権限をどうやって取得するかなどを学べます。
パスワードの突破方法は普段使っているパスワードをどう守るかにつながる内容です。
Gmail、Twitter、Facebookなど、パスワードを要求されるようなWebサービスに登録している人であれば、誰しも役立つ情報間違いなしのセクションです。
セクション7:DoS攻撃
DoS攻撃は有名な攻撃手法です。
ぼくの職場でもDoS攻撃の踏み台にされたシステムがあって、警察から連絡が来たことがあります。
その際若いんだからということで、いろいろ原因・対策を調べさせられましたが、難しくてなかなか正解にたどり着けませんでした…
この講座を受けていればもう少しスピーディに対応できていたかもしれません。
有名な攻撃なので、知っているだけでいつか役立つ日が来るかもしれませんね!
セクション8:Webアプリケーション攻撃
Webアプリケーションの開発を行なっている方にはぜひ受講していただきたいセクションです。
フォームの脆弱性をついた攻撃手法などを学べます。
対策を施していないフォームであれば、ユーザー情報を抜き出すことも可能だったりするそうです。
いまドキッとしたあなた…!
ぜひ受講しておいた方がよいですよ…!
セクション9:アクセスの維持
ハッキングにおいてアクセスの維持は重要です。
せっかくハッキングしたのに毎回閉め出されたら苦労が絶えません…
簡単に出入りできる『バックドア』の作り方、隠し方が学べます。
隠し方が学べるということは発見方法も学べます。
安全を確認する必要がある業種の方はぜひとも学んでおきたい部分ですね。
セクション10:痕跡の消去
攻撃すると必ずログが残ります。
このログをいかに改ざんしてバレないようにするか、または証拠を消し去るかはハッカーにとっては重要な要素です。
システム管理者としては、逆にログがどんな状況だったらハッキングされた可能性があるか知ることができます。
ハッキングの発見が早ければ、それだけ被害も少ないかもしれません。
こちらもシステム管理者であれば学んで損はないセクションです。
セクション11:ネットワーク盗聴
Wi-Fiが発達してきている中で、このネットワーク盗聴は知っておきたいセキュリティ項目です。
どういうWi-Fiだったらセキュリティがしっかりしていて盗聴されないか、どういうWi-Fiだと偽物の可能性があるかなど、日常生活でも役立つ情報です。
知らぬ間にあなたのパソコン・スマホは危機にさらされているかもしれませんよ…!
ホテルなどの無料Wi-Fiを使うか・使わないかの判断に役立ちます。
セクション12:マルウェア
マルウェアとは悪意のあるソフトウェアのことです。
ウイルスなどをまとめてマルウェアと呼びます。
どういう種類があるか、どうして感染するかなどを知ることができます。
こちらも、日常的にパソコン・スマホを守るのに役立つ情報です。
何気なく使っているそのフリーソフト、実は危ないかもしれませんよ…!
セクション13:ソーシャルエンジニアリング
ソーシャルエンジニアリングを聞いたことがありますか?
ぼくはこの講座を受けるまで聞いたことがありませんでした。
他人を操りその人が持っている情報を聞き出したり、その人の権限を勝手に使うことだそうです。
以前起きたCoinCheckの仮想通貨盗難事件もこのソーシャルエンジニアリングだったのかもせれません…
これの怖いところは人を信用できなくなるところ。
ちょっとでも怪しいと思ったら、自分の持っている情報は与えないようにしましょう。
もっと具体的な話が講座では聞けますよ!
セクション14:その他
その他のセクションでは
- 無線ネットワーク
- スプーフィング
- クラウド
- 認定試験
についての講義です。
無線ネットワークではWi-Fiについてより詳しく仕組みの段階から学べます。
スプーフィングとは“なりすまし”という意味です。
ソーシャルエンジニアリングも広い意味ではスプーフィングに含まれます。
色々な攻撃に使われる技術のようなので学んで損はない内容です。
クラウドは今後発展していくことが間違いない分野です。
ここでは基本的なクラウドについての知識が得られますが、今後はセキュリティが課題になってくるので今から知っておくと遅れをとらないでしょう。
これまで学習してきた情報セキュリティについても認定試験がいくつかあります。
その種類を知るとともに、仕事で扱うとしたらどの試験がオススメかを教えてくれます。
広く浅くの講座ですが、その他のところでぎゅっと取りこぼしがないようになっています。
まとめ:『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』は情報セキュリティの意識改革にもってこい!
この記事ではオンライン講座Udemyで開講されている『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』をご紹介しました。
▼『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』はどんな講座? ▼
○ どんな人にオススメ?
- Webアプリ開発に仕事でかかわりはじめた若手社会人
- Webセキュリティに不安を抱いている方
○ この講座に期待したこと
- 情報セキュリティに対する知識が身につき、Webアプリケーション開発などで脆弱性の少ないシステムを構築できるかも:実現
- ハッキング技術が身につき、ホワイトハッカーとして活躍できるようになるかも:難しい
- システムの提案をする上でセキュリティ面も考慮したシステムを提案できるかも:難しいことがわかった
- システムにトラブルがあったときにログなどを解析できるかも:難しい
○ 講座の概要
- セクション1:はじめに
- セクション2:情報セキュリティとホワイトハッカー
- セクション3:情報収集概論
- セクション4:偵察技術
- セクション5:スキャニング技術
- セクション6:サーバへの攻撃
- セクション7:DoS攻撃
- セクション8:Webアプリケーション攻撃
- セクション9:アクセスの維持
- セクション10:痕跡の消去
- セクション11:ネットワーク盗聴
- セクション12:マルウェア
- セクション13:ソーシャルエンジニアリング
- セクション14:その他
この『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』は情報セキュリティの意識改革にもってこいの講座でした。
講座で出て来る攻撃手法は今の自分にも有効なものがたくさん出てきます。
無防備な状態ではたちまち攻撃にやられてしまうことでしょう。
これからは少しずつセキュリティを意識してアカウント設定を行なっていきたいです。
情報セキュリティというちょっと難しそうなテーマのこの講座。
確かに、専門用語に対する解説が少なかったりと難しい部分もあります。
しかし、しっかりと理解すれば周りの人よりひと回りもふた回りも情報セキュリティに対して防御手法が身についていることでしょう。
気になるお値段は24,000円75%OFFの6,000円!(2018年6月2日現在)
まだまだネットワーク社会は発展途上です。
お得なうちに『【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門』でぜひ自分の身を守る知識・スキルを身につけましょう!
オンライン学習はUdemyがオススメ!
一緒にオススメ!プログラミング学習にオンラインサービス“Udemy”をオススメする5つの理由
で詳しくはご覧ください。
以上、サラリーマンブロガー3まる(@3sunmaru)でした!
