ペンテスターになるには？

脆弱性評価テストと同じか？

ペンテストと脆弱性評価テストは大きく異なります。どちらもサイバーセキュリティの監査手段ですが、前者はセキュリティシステムの状態（更新状況や設定の問題点など）を簡易にスキャンするだけです。基本的には既存の基準や過去のセキュリティ課題に基づいて評価が行われます。一方、ペンテストは模擬攻撃を実施してシステムの脆弱性を新たに発見し、その改善策を検討する作業です。

‍

ペネトレーションテスターとは誰か

上記の情報から、ペネトレーションテスターがどのような存在かは容易に想像できるでしょう。ペネトレーションテスター（ホワイトハッカーとも呼ばれる）は、模擬攻撃を実施してシステムの脆弱性を探し出し、他のサイバーセキュリティ担当者と連携して将来の悪用を防ぐ専門家です。 

要するに、この人物は報酬を受け、法的な許可のもとでウェブサイトやアプリ、ネットワーク、コンピュータシステムのセキュリティに対して攻撃を仕掛けるハッカーです。

‍

ペンテスターの仕事とは

ペネトレーションテスターは、単にシステムの弱点やハッキングを知っているだけでなく、ハッカーのように考え、行動し、細部にまで注意を払う人物です。この仕事は繊細なため、積極的かつ賢明である必要があります。以下に、ペンテスターが行う作業を示します。

1. 彼らは偵察を実施する – サイバー犯罪が進化する中、情報は力です。ペネトレーションテスターは、狙うシステムの詳細な調査と、脆弱性を見つけ出す最適な方法を常に模索します。十分な情報がなければ、テストは失敗し、最新の脆弱性が見過ごされ、システムがハッカーの標的となります。
2. ‍彼らはスキャンを行う – ペネトレーションテスターは、侵入経路、開放ポート、バイオメトリクスなどを徹底的にスキャンし、疑われにくい方法での侵入ポイントを探ります。この隠密なスキャンは脆弱性発見に不可欠であり、特にデータベーステストの際には、正当なアクセス手段すべてを対象とします。
3. 彼らはアクセスを取得する – 満足のいくスキャンの後、ペンテスターは正規の利用に見せかけた攻撃を複数開始し、システム内で脆弱性を突こうと試みます。すなわち、サーバー、ネットワーク、あるいはデータベースへの通常使用に見える攻撃を実施し、必要な情報の抽出やバックエンドへの侵入を狙います。
4. 彼らはアクセスを維持する – ペンテストの主眼は、検知されずに脆弱性を発見することにあります。すでに存在するセキュリティ体制の中で、検知されずにアクセスし続ける必要があるため、成功すればシステムの他の部分に対しても密かに攻撃を仕掛けます。場合によっては、侵入ポイント自体が主要な狙いでないこともありますが、基本的にはアクセス継続とその後の悪用計画が存在します。
5. 彼らは足跡を隠す – ペンテスターは可能な限り長くシステム内に潜み、脆弱性を詳細に分析する必要があります。そのため、作業中のサーバー、データベース、アプリのセキュリティに露出するリスクは避けなければなりません。通常、特別な操作をせず、通常の範囲内で行動することで、収集した情報を基にアルゴリズムとデータセットを操作し、足跡を巧妙に隠します。これが隠密性と呼ばれるものです。
6. 彼らはすべての脆弱性を特定し、記録する – システムを徹底的に調査すればするほど、多くの脆弱性が明らかになります。攻撃時の経路や手法を詳しく記録し、その情報をセキュリティチームに提供します。これにより、どこに重点を置くべきか、強化すべきデータのセットや対策が明確になり、これがペンテストの主要な目的となります。また、ペンテスターは倫理的ハッキングの誓いに従い、脆弱性を外部に売り渡すことはありません。

まとめると、ペネトレーションテスターの業務は以下の通りです：

• 組織のセキュリティシステムの脆弱性を探し、修正する。
• 従来見逃された、または未発見の欠陥を発見する手助けをする。
• サイバー攻撃（特にデータ漏洩）が発生した場合の、データ及び資本面での影響を評価する。
• 組織の対応体制や、攻撃に対する反応速度・効果を分析する。
• PCIの要件を満たすための支援を行い、ユーザーデータの管理とシステム安全性を確保する。
• 毎年、変化する脅威環境に対する組織の対応を評価する。
• 実環境での客観的なセキュリティ状態を分析し、示す。

ペネトレーションテスターに求められるスキル

1. 最新の知識を持つべき – 脆弱性テスターは、常に進化するセキュリティシステムやサイバー犯罪、情報の流れについて熟知していなければなりません。ペンテスターとして、新たな任務や挑戦は学びの機会であり、別のフレームワークに慣れる、またはスキルを向上させるチャンスとなります。もし学びが負担に感じられるなら、この分野は向いていないかもしれませんが、新しい知識を吸収するのが楽しいなら適職です。
2. ‍常に学ぶ意欲が必要 – 学びは継続的なプロセスです。すべての分野に精通することは難しいですが、柔軟に学び、常に新しい経験を追求する姿勢が大切です。セキュリティ企業のコードに頼るのではなく、自ら仮想マシンを構築し、コードを入手してテストできる能力が求められます。これらの経験は、後に自己学習の貴重な資料となります。有能なペンテスターになるためには、不断の学習姿勢が不可欠です。
3. 洞察力と綿密さが必要 – どのシステムも一様ではありません。ある環境で有効な手法が、他の環境では通用しないことがあります。柔軟にアプローチし、新たな方法で挑戦する姿勢が求められ、細かな違いを見逃さないことが成功の鍵となります。
4. コミュニケーション能力が必要 – ペンテストにおいて、情報の伝達は非常に重要です。組織のセキュリティチームに対し、結果を明確かつ簡潔に伝えることで、効果的な対策が講じられます。小さな誤解が大きな問題を引き起こす恐れがあるため、注意深いコミュニケーションが求められます。
5. 安全なウェブ通信の理解 – ドメイン名の選定からクラウドIPへの割当、さらにはウェブ開発の基本原則まで、幅広い知識が必要です。ウェブアプリは一般的であり、その構造、入力フィールドの識別、データ収集方法など、脆弱性を突くための知識が求められます。また、Python、Java、PowerShell、Perl、Bashなどの基本プログラミング言語も必要です。
6. ‍サイバーセキュリティに情熱を持つ – ハッキングやデジタルセキュリティに対する強い興味が、この仕事を成功に導く大きな要素となります。情報過多やプレッシャーの中でも、自身を駆り立てる情熱が必要です。

まとめると、有能なペンテスターは、プレッシャー下でも仕事をこなし、慎重で、記録管理に優れ、そして何より信頼できる人物でなければなりません。組織のセキュリティの詳細が漏れることは、非常に大きなリスクとなります。

ペネトレーションテスターの業務内容

• 計画された（場合によっては予期せぬ）攻撃を行い、組織やセキュリティ体制の強度と反応を測る。
• セキュリティ対策の効果と、その回避方法について詳細なレポートを作成する。
• 各攻撃が組織の運営と財務に与える影響を詳細に分析する。基本的には、サイバーセキュリティ体制への攻撃リスクとコストを評価する。
• 信頼される立場から、組織のセキュリティ改善のための予算提案を行う。
• セキュリティプロトコルの動作を研究し、ハッキングツールや手法を学び、新たなツールを開発する。
• オープンソースインテリジェンス（OSINT）を活用し、模擬攻撃の対象システムや、旧来のセキュリティ対策を回避するタイミングを見極める。
• 特定のセキュリティリスクに対する、組織の対応方法を再検討する。
• セキュリティプロトコル、手法、運用方法を調査し、攻撃に対する全般的な防御のための改善策を講じる。

ペネトレーションテスターになるためのステップバイステップガイド

1. 概念とその重要性を理解する – ペンテスターになるには、この仕事の内容、直面する制約、業務の重要性、そして求められるスキルセットを十分に理解する必要があります。これがキャリア開始の基礎となります。

2. コーディング、プログラミング言語、ハッキングの知識を身につける – ウェブアプリ、データベース、ハッキングの仕組みを理解するため、ウェブ言語、サイバー犯罪関連の知識、及び基本的なコーディング技術に精通する必要があります。これらは有能なペンテスターとしての基盤となります。

3. 必要なソフトスキルを磨く – 有能なペンテスターになるには、コミュニケーション、タイムマネジメント、チームワーク、人間関係、分析力などのソフトスキルが求められます。これらの能力をインターンなどで実践的に学ぶと良いでしょう。以下のスキルも必要です：

• クラウドコンピューティング、技術、アーキテクチャ
• テクニカルライティングとデータ分析
• 脅威評価とモデリング
• セキュリティ評価ツールの利用
• アプリとネットワークのセキュリティ管理等

4. 学位を取得する – 結果重視の時代ではあるものの、学位は有能なペンテスターとしての差別化に大きく寄与します。キャリアとしてペンテスターを目指すなら、認定機関で学び、学位を取得することが重要です。学習修了証は、就職市場において大きなアピール材料となります。例えば、以下のEdTechプラットフォームが挙げられます：

• Coursera
• UDACITY
• EDX
• FUTURE LEARN 等

5. 経験を積む – 学ぶだけではなく、習得した知識を実践することが必要です。さまざまな組織でのインターンシップや、個人的な実験・シミュレーションを通じて、実践力を養うと良いでしょう。これにより、従来の枠を超えた実務経験が得られます。具体的には、以下の方法があります：

• インターンシップ
• フリーランス
• 自宅での実践

6. 認定を取得する – 学んだことの証明だけでは、組織の信頼を得るには不十分です。倫理的ハッキングを管轄する組織の認定を受ける必要があります。試験に合格し、実力を示すことで、さらに上級の認定を取得して信頼性を高めることが重要です。代表的な認定には以下が含まれます：

• CompTIA PenTest+
• GIAC Penetration Tester (GPEN)
• GIAC Web Application Penetration Tester (GWAPT)
• Offensive Security Certified Professional (OSCP)
• Certified Penetration Tester (CPT)
• Certified Ethical Hacker (CEH)

ペンテスターの給与について

ペンテスターの報酬は、以下の要素に依存します：

• 勤務地
• 企業
• 経験
• 学歴
• 認定資格
• 国
• 個人の評価

上記の各要素（経験、学歴、認定、評価）が向上すれば、報酬も上昇します。米国のサイバーセキュリティ市場では、ペンテスターの平均年収は約103,000ドルです。

結論

ペンテストは、デジタルセキュリティ分野において欠かせない職業です。規律、献身、知性が求められ、これらは時間をかけて養われます。また、忍耐力、情熱、誠実さが試される場でもあります。常に組織にとって損失を招くリスクが存在しますが、新たな挑戦や探求が好きな方には非常に魅力的な仕事です。