サイバーセキュリティ分野の職種の1つである、ペンテスターをご存じでしょうか?増え続けるサイバー攻撃に対応するためには、実際にどう攻撃されるかを知らなければなりません。実際にシステムに疑似的に攻撃を行い、システムの脆弱性を見つけるのが、ペンテスターの仕事です。この記事では、高度な技術が必要なペンテスターについて、ペネトレーションテストもあわせて簡単にご紹介します。
ペンテスター(ペネトレーション・テスター)とは
ペンテスター(ペネトレーション・テスター)とは、脆弱性を見つけるテストをする、セキュリティ分野の専門性が高い職種です。ホワイトハッカーとも呼びます。
システムにアクセスするための脆弱性を見つけ、その脆弱性が実際に、悪意ある第三者によってシステムを脅かされる原因となるものかどうかを判断します。その判断をもとに、企業がシステムの修正要否を決定します。実際に攻撃者目線でシステムをチェックすることができるのが、ペンテスターです。
ペネトレーションテストとは
ペンテスターが行うのは、ペネトレーションテストというテスト手法です。このペネトレーションテストは、別名をペンテストや模擬ハッキング、侵入実験、侵入テストなどといいます。ペネトレーションテストでは、テスト対象の企業が運用しているサーバーやクラウドシステムなどにつながる経路に疑似的に攻撃を実施します。
また、ペネトレーションテストの方法はいくつか方式があります。ホワイトボックステストと呼ばれる方式は、ペンテスターがテスト対象のシステムのネットワーク構成や機密情報の保管方式、普段の監視方法や体制などをヒアリングしてから行うものです。ブラックボックステストと呼ばれる方式では、システムの内部構造を考慮しない攻撃方法を選択します。他にも、攻撃者が外部または内部の場合などで、顧客の希望によってテストのシナリオが変わります。
攻撃・侵入方法は、例えば下記のようなものです。
- サーバーに遠隔操作で侵入しシステムの管理者権限を奪う
- 標的型メールを送信する
- DDoS攻撃やSQLインジェクションを仕掛ける
その後、ペネトレーションテストの実施結果を報告書にまとめ、クライアントに報告することになります。
ペネトレーションテストと似たような位置づけの診断として、脆弱性診断があります。これはシステム管理者が、システム全体の脆弱性を網羅的に把握するためのものです。 一方ペネトレーションテストでは、特定の箇所の脆弱性や問題点を発見することを目的としています。その脆弱性に対して攻撃者目線で攻撃方法を考えて実行することになります。企業内の人材だけでは発見が難しいセキュリティの脆弱性を、ペネトレーションテストにおいて発見することができるのです。
ペンテスターとバグハンターの違い
バグハンターとは、公開済みのプログラムの不具合や脆弱性を発見・企業に報告することで報奨金を得る人のことです。不具合や脆弱性の発見・報告によって発見者に報奨金が支払われる制度を「バグバウンティ(別名:バグ報奨金制度、脆弱性報奨金制度など)」といいます。バグバウンティは、GoogleやMicrosoft、 LINE、 任天堂など名だたる企業が運用しています。
ペンテスターとバグハンターとは、脆弱性を発見する対象や方法においては共通しています。ペンテスターとバグハンターの間の違いは、依頼の形態です。ペネトレーションテストは企業対企業の取り組みであり、テストを担うペンテスターの多くは企業に所属しています。対してバグハンターは、企業が広く一般にプログラムを公開し、不具合を見つけた人に報酬を支払う成果報酬の形式です。
バグハンターについて詳しくはこちらの記事をご参照ください。
記事を読むペンテスターの年収
ペネトレーションテストは基本的にセキュリティの専門分野であることから、専門家集団にアウトソーシングすることになります。
また、ペネトレーションテスト自体が高額な取り組みであるために、有名企業や大企業が実施する場合が多くあります。したがって年収の幅は広いものの、高収入が見込める職種なのです。
ペンテスターになるためには
ペンテスターになるには、セキュリティエンジニアとしての知識と、実践できるスキルが必要です。
ペンテスターに必要な基本スキル
ペネトレーションテストには、実際に悪意ある攻撃者が使用しているツールや疑似的なマルウェア、サービスの脆弱性などが使われます。したがって既存のツールやその他の攻撃方法を知るために、前提として下記のような知識を網羅しておかなければなりません。
- セキュリティ全般の知識
- JavaやPythonなどの複数のプログラミングの知識
- ネットワーク・データベースの知識
関連資格
ペンテスターの資格は日本にはなく、関連するセキュリティの資格としては、情報処理推進機構(IPA)が主催する情報処理安全確保支援士試験があります。
その他、海外の資格には下記のようなものがあります
- CEH(Certified Ethical Hacker):国際的に有名なアメリカの資格で、3年ごとに更新が必要
- GIAC(Global Information Assurance Certification):アメリカの資格で、特定領域ごとの資格がありますが、比較的高額
- OSCP(Offensive Security Certified Professional):アメリカの資格で、この3つの資格の中では最も価格が低い
学習方法
ペンテスターに関する資格は、海外が主流ですが、日本でもこれらの資格取得のための学習コースがいくつかあります。資格取得のための学習コースを受講することで網羅的に知識を習得できるでしょう。
またサイバー攻撃は常に進化しており、自主的な学習が欠かせません。
- 最新の攻撃手法を知る
- 攻撃コードの仕組みを理解する
- 日本だけでなく海外の最新の調査ツールのソースコードを読む
- 自分で簡易版の調査ツールを作る
- 同じペンテスターやバグハンターとチームを組み、情報共有をしながら実践的な学習を行う
などを行いながら、スキルを磨いていくことになります。
ペンテスターの将来性
日本では、ペネトレーションテストは脆弱性診断と同等とみなされているケースが少なくなく、セキュリティエンジニアの範疇とされます。
日本国内のサイバーセキュリティ人材は質的にも量的にも不足しているのが現状です。NRI セキュアテクノロジーズ株式会社の調査「NRI Secure Insight 2020」によれば、セキュリティ人材の過不足感を問うアンケートにおいて、日本は86.2%が「不足している」と感じているとのことです。これはアメリカやオーストラリアが16~17%程度であることに対して高い比率となっています。
その中でもどんな人材が不足しているかというと、「セキュリティ戦略・企画を策定する人」「セキュリティリスクを評価・監査する人」「ログを監視・分析する人」が上位に挙げられていました。
将来的にサイバー攻撃が増加・巧妙化するにしたがって、ペンテスターの需要も増加することが考えられます。ペンテスターを経験しておけば、将来的にマネジメントに関わるときにも役立つでしょう。
現在では政府や民間の組織において国内のセキュリティ人材育成のための活動が行われています。人材育成の機運が高まっているうちに、学び直しとして取り組むのも1つの手です。
まとめ
今回は、ペンテスターについて簡単にご紹介しました。ペンテスターはときに一人では作業が難しく、チームでテストを行うこともあります。ペンテスターとしての求人も、専門家が集まった企業が募集している場合がよく見受けられます。高い技術を身に着けたセキュリティ人材になることを目標としている場合は、ペンテスターへのキャリアパスも視野に入れてみてください。
ペンテスターへの転職をご検討の場合はページ下部のフォームからお気軽にご相談ください。サイバーセキュリティ領域に特化したコンサルタントがお力添えをいたします。現在の求人情報をチェックしたい方は、下記のボタンから求人検索をご利用いただくか、お問い合わせフォームよりご相談ください
