エシカルハッカー – 誰で、何をするか？

エシカルハッカーとは誰か

エシカルハッキングは、組織の情報漏えいやリスクを明らかにするため、アプリ、システム、または組織の基盤に潜む弱点を発見し、セキュリティを突破する手法です。エシカルハッカーは、悪意ある攻撃者が悪用する可能性のある脆弱性を探し出し、その対策を考えることで、システムの安全性を高め、攻撃に耐えやすくすることを目的としています。

システムや組織の防御策を検証するため、運営者はサイバーセキュリティ専門家に作業を依頼します。したがって、この手法は計画的で承認されたものであり、悪意あるハッキングとは異なります。

エシカルハッカーは、悪質な攻撃者が狙う脆弱性を見つけ出すため、システムや組織を丹念に調査します。収集した情報を分析することで、システム、組織、そしてアプリをより安全にする方法を見いだし、セキュリティ対策の強化に努めます。

組織は、自社のシステムや組織内の弱点を明らかにし、情報漏えいを防ぐためにエシカルハッカーの知見を活用します。これは『犯罪者と同じ目線だからこそ、不正が見抜ける』という考えに通じます。

彼らが探す代表的な脆弱性は、以下のようなものです。ただし、これに限定されるわけではありません:

• インジェクション攻撃
• セキュリティ境界の改変
• 機密情報の露出
• 認証規約の破れ
• システムや組織の部品が侵入口となる可能性

‍

エシカルハッキングが解決する課題

エシカルハッキングは、攻撃者の手法を模倣しながら、組織のIT資産の安全性を検証する試みです。攻撃経路を探るとともに、可能な限り多くの情報を収集することを目的としています。

十分な情報を得た後、エシカルハッカーは対象のシステムの脆弱性を検証します。自動テストと手動テストの双方を用いて評価が行われ、複雑なシステムでも十分な対策が講じられていない場合があることが明らかになります。

その後、発見された脆弱性に対して、悪意ある攻撃者がどのように利用するかを実演することで、その危険性を具体的に示します。

ここに、エシカルハッカーがよく発見する脆弱性の一例を挙げます:

• インジェクション攻撃
• 認証の問題
• セキュリティ設定の不備
• 脆弱なコンポーネントの利用
• 機密情報の露出

テストが完了すると、エシカルハッカーは詳細なレポートを作成します。このレポートには、発見された脆弱性の利用手法と、その対策・緩和策に関する推奨事項が記されています。

エシカルハッカーに求められるスキルと認証

エシカルハッカーに求められるコンピュータスキルは幅広く、特定の分野において継続的に訓練し、専門家としての知識を深めることが一般的です。

すべてのエシカルハッカーが備えるべきスキルは以下の通りです:

• プログラミングの知識
• オペレーティングシステムの知識
• システム管理全般の知識
• セキュリティプロトコルの理解

これらは最も基本的で広く得られているスキルです。

認定エシカルハッカーとなるためには、以下のいずれかの認証が役立ちます:

Certified Ethical Hacker (CEH)。EC-Councilが提供するこの認証は、最も実績があり有名な入門向けプログラムです。ハッキングの基本から、マルウェア、リモート、クラウド、モバイルなど18のテーマを網羅しており、オンラインまたは対面形式で受講できます。オンライン講座にはCyber Range iLabへの半年間のアクセスが付属し、100以上のハッキング手法を体験できます。

SANS GPEN。SANS Instituteが提供する講座は、ITセキュリティの専門家の間で高い評価を受けており、エントリーレベルのGIAC Penetration Tester (GPEN)認証が特に人気です。

Offensive Security Certified Professional (OSCP)。実践的なラボ演習と試験を通じてOSCPはその実力を証明しています。『Infiltration Testing with Kali Linux』というオンライン独立講座には30日間のラボアクセスが付属し、Linux、シェル、スクリプトの基本知識が求められます。なお、Kali Linuxはかつてのペンテスト向けディストリビューションBackTrackの後継として位置付けられています。

Foundstone Ultimate Hacking。McAfeeのFoundstone部門が提供していた、初期の実用的なペンテストトレーニングの一つです。

その後、Ultimate Hackingのコースやディストリビューションが次々と登場し、高度なハッキング手法、Windows、Linux、Solaris、インターネット、SQL（例：ブルートフォース攻撃）などを網羅しました。しかし、Ultimate Hackingに対する認証試験や公式な認証は存在していません。

CREST。非営利のCRESTは、ペンテストのトレーニングと試験を提供しており、英国、オーストラリア、欧州、アジアなど多くの国で認められています。CRESTの目的は、熟練したペンテスターを育成・認証することであり、英国のGCHQ（米国のNSAに相当）もその試験を評価しています。

また、米国の多くの大学では、業界認証とは別にエシカルハッカーになるための教育プログラムが提供されており、米国労働統計局(BLS)はエシカルハッキングを情報セキュリティアナリストの一分野と位置付けています。

‍

エシカルハッキングとペンテストの違い

「ペンテスト」と「エシカルハッキング」という用語はしばしば同意語として使われますが、実際には細かな違いがあります。ITセキュリティ強化のため、Wallarmはエシカルハッカーとペンテスターの両方を活用しています。

ランサムウェアや新たなPCウイルスについて常に最新情報を得るため、エシカルハッカーはITシステムの脆弱性を定期的にテストします。ペンテストは、包括的なITセキュリティ評価の一環として実施されるケースが多いです。

一方、ペンテスターも同様の目的で活動しますが、通常は決められたスケジュール内で業務を遂行します。また、ペンテストは継続的なセキュリティ管理より、特定のシステム部分に注力する傾向があります。

例えば、ペンテスターはテスト期間中のみシステムへ短期的なアクセス権が与えられる場合があります。

‍

エシカルハッカーとブラックハッカーの違い

動機を比較することにより、ホワイトハッカーとブラックハッカーを区別しやすくなります。ホワイトハッカーは脆弱性を発見して修正することで、ブラックハッカーによる悪用を防ぎます。一方、ブラックハッカーは個人的な利益や報復など、悪質な目的で行動します。

ホワイトハッカーとブラックハッカーを見分ける他の観点は以下の通りです:

• 使用する手法

ホワイトハッカーは、悪意ある攻撃者が用いる手法や技術を模倣し、システム攻撃の経路を解明します。もし組織やシステムに脆弱性を見つけた場合、速やかに報告し必要な修正を提案します。

• 法令遵守

ホワイトハッカーもブラックハッカーも同じハッキング技術を使用しますが、無断でシステムに侵入するブラックハッカーは法を犯しています。

• 所有権

組織は、自社のセキュリティ検査のためにホワイトハッカーを起用しますが、ブラックハッカーはシステムの所有者でも所属者でもありません。

エシカルハッキングの手法

多くの場合、組織を狙う悪意あるハッカーは、エシカルハッカーと同じ手法を用います。業務やシステムの情報にリスクを及ぼす状況を模擬し、脆弱性を探るのです。これらの手法やツールは、依頼主のためにエシカルハッカーが実施する包括的な脆弱性調査の一部となっています。

その一例として、以下の手法が挙げられます:

• システム構成の分析、オープンポートの特定、各ポートの脆弱性検証、そして対策の促し
• Nmap、Nessus、Wiresharkなどのポートスキャンツールを用いた脆弱性検査
• パッチ適用手順の確認により、更新されたソフトウェアに新たな脆弱性がないかの検証
• ネットワークトラフィック分析やスニッフィングに適したツールの使用
• ファイアウォール、侵入検知システム、ハニーポット、侵入防止システムの突破を試みる
• SQLインジェクションの手法をテストし、悪意ある攻撃者が脆弱性を利用して機密情報を引き出せないようにする

ソーシャルエンジニアリングも、エシカルハッカーが組織内部の状況を把握するために用いる手法の一つです。SNSやGitHubの投稿をチェックしたり、従業員にフィッシングメールへ反応させたり、現場に足を運んで実際のセキュリティの弱点を探ることがあります。ただし、従業員を脅迫したり、不正にアクセス情報を取得する手法は使いません。

‍

エシカルハッカーの年収

認定エシカルハッカーの平均年収は71,000ドルで、給与レンジは24,000ドルから100,000ドルです。

さらに、エシカルハッカーの給与はスキルと経験により上下し、熟練者は高収入を得る傾向にあります。初心者の給与はさまざまですが、優れたエシカルハッカーであれば快適な報酬が得られ、生活費を十分に賄えるレベルに達することもあります。

WEBアプリのセキュリティにおけるエシカルハッキングの役割

組織がハッキングされたり、サイバー犯罪者に狙われると、顧客の信頼が低下し、取引が減少する恐れがあります。顧客が自社データが十分に守られていないと感じれば、将来、サービスや製品を購入しなくなる可能性が高まります。

被害はさらに大きくなる可能性があります。個人情報だけでなく、組織の文書、給与記録、領収書など、重要なデータが一度の攻撃で全て消失してしまう恐れがあります。

ITスタッフは、これらの脆弱性を個別に検出し、最新のセキュリティ知識を持って対策を講じる必要があります。問題が大事に至る前に対処できれば、情報の漏えいや損失を防ぐことが可能です。

コンピュータシステムとネットワークの構成は常に進化しており、既存のシステムにも継続的な見直しが求められます。組織は、セキュリティ評価機関を利用してエシカルハッキングを実施し、システムに問題がないか定期的に確認すべきです。ITシステムを利用して業務を行うすべての組織にとって、この取り組みは必須です。