セキュリティエンジニアとして学習が必要な項目を洗い出す

セキュリティエンジニアとして足りない部分があるのはわかっているが、具体的にどこを目指し、何を身に着けていくのかを考えていく。

ちなみにこれは現時点のものであり、必要に応じて変化していく

目指すセキュリティマンのイメージ

まず目指すイメージを具体化していきたい。

基本的にセキュリティマネジメント（言葉として適切？）よりで、プラスαほかの領域も会話できるし、フォローできる程度に手を動かせる

というイメージだ。

より具体化すると、

- 1. ビジネスとセキュリティを紐付けて説明できる
- 2. 会社全体のセキュリティ戦略（何を優先して対応するか）を作れる
- 3. 従業員向けのセキュリティについて会話できるし、手を動かせる
- 4. プロダクトセキュリティについて会話できるし、フォローできる程度に手を動かせる
- 5. 人的ネットワークを持っている
　- セキュリティコミュニティを運営する
　- セキュリティイベントを主催する

あたりになります。

CISO Mind Mapを使って学習分野を絞り込む

上記をSANSのCISO Mind Mapに当てはめて、具体的にどのような分野の学習が必要かマッピングしてみます。学習の取っ掛かりとなる単語をマッピングしていくイメージです。

SANS CISO Mind Map 

ちなみに上記以外にもCISO Mind Mapはいくつか種類があります。

- 1. ビジネスとセキュリティを紐付けて説明できる
　- Business Impact Analysis, Business Alignment, Business Strategy
- 2. 会社全体のセキュリティ戦略（何を優先して対応するか）を作れる
　- Risk Management, Metrics and Reporting, Roadmap Development
- 3. 従業員向けのセキュリティについては主体的に手を動かせる
　- Identity & Access Management, Zero Trust
- 4. プロダクトセキュリティについては会話できるし、フォローできる程度に手を動かせる
　- Cloud Computing, Product Security
- 5. 人的ネットワークを持っている
　- マッピング対象外とする

学習の優先順位付けをする

いろいろな分野が抽出できましたが、一足飛びに全部を身につけることはできません。よって、優先順位をつけたいと思います。

まず3番はすでに一定の経験があるため、一番最後に回します。そして5番は長期タスクとなるため、他の項目と並行で動いていくこととします。

そうすると1, 2, 4番のどれかになります。価値があるのが1番と2番ですが、学習も難しいのではと思われます。

よって、まずは4番のプロダクトセキュリティについて学習しつつ、5番のセキュリティイベントやコミュニティ活動をしていく形かなと思います。

優先順位は以下で期間を区切って3ヶ月ずつ、全9ヶ月予定

- Cloud Computing, Product Security
- Risk Management, Metrics and Reporting, Roadmap Development
- Business Impact Analysis, Business Alignment, Business Strategy