ペネトレーションテスターは見た! 第4回「ペネトレーションテスター精神論」 | ScanNetSecurity
2024.03.28(木)

ペネトレーションテスターは見た! 第4回「ペネトレーションテスター精神論」

お客様からよく聞かれる質問に、「ペンテスターになるためにはどんな技術を身につければよいでしょうか?」「何か資格を取得したらペンテスターになれますか?」「どうすればペネトレーションテスターを育てられるのでしょうか?」といったものがあります。

特集 コラム
筆者 株式会社キーコネクト 代表取締役 利根川 義英 氏
筆者 株式会社キーコネクト 代表取締役 利根川 義英 氏 全 1 枚 拡大写真
 読者のみなさん、大変ご無沙汰しています。連載を重ねる毎にその間隔が長くなり [註 1] 連載 4 回目となる今回は、前回の記事掲載からなんと 2 年半も経ってしまいました。2年半も経つと世間の変化も相当なもので、私達の働く環境は大きく変わりました。最も大きな要因はやはり Covid-19 ですよね。そして、その Covid-19 対策でリモートワークが一気に浸透しつつある 2021 年 6 月、筆者が代表取締役を務めるキーコネクトは Covid-19 に負けることなく創業 7 年目をスタートすることができました。新年度を迎えた弊社ですが、こんな零細企業でも毎年会社として目標 [註 2] を立てて、1 年頑張っていこうと思うわけです。読者のみなさんも、おそらく 4 月から新年度を迎え、目標を何かしら立てたと思います。例えば、「セキュリティエンジニアに俺はなる!」「私は脆弱性診断士の資格を取ろうかしら」という目標を立てた方もいると思います。そして、「今年はペネトレーションテスターになりたい」と思った方も。

[註 1] もはや連載とは言えないレベル。
[註 2] 今年の目標のひとつ、本執筆を完了させること。これを読者のみなさんが読んでいるということは...目標ひとつ達成しました!


 そこで今回は今年こそペネトレーションテスターになろうと思った方に向けて、ペンテスターに必要な素養についてのお話を「ペンテスター精神論」として贈りたいと思います。

 弊社のお客様からよく聞かれる質問 [註 3] に、「ペンテスターになるためにはどんな技術を身につければよいでしょうか?」「何か資格を取得したらペンテスターになれますか?」「どうすればペネトレーションテスターを育てられるのでしょうか?」といったものがあります。この問いに対してズバリな回答はないと思っています。従って、筆者はたいてい「なろうと思ってなったペンテスターって多分いない [註 4] と思うんですよね。」と答えてしまっています。実際のところ、そういう資格もあるし、技術を身につける必要もあるのでそういう質問に答えようと思えば答えることは可能です。では、資格を取ったり技術を身につければ本当に望むペンテスターになれるのでしょうか?答えは「 No 」だと筆者は考えます。

[註 3] 筆者はセキュリティアドバイザーとして顧客から相談を受けるお仕事もしているのだが、顧客からは一度は必ずこの質問がでる。
[註 4] いやいないことないとは思います。が、今日からペンテスターです!  みたいないきなりジョブチェンジできるわけでもないし、ペンテスターという肩書でお仕事を始めても最初は何もできないことも多いし、少しずつ色んな技術や仕事の進め方が自然と身についていくもの、ということです。


 質問した方に対していつもこういう分かりにくい答えを返してしまうため、「この人に聞いても無駄だったな」と思われている事間違いなしの筆者ではありますが、今回はこの答えを少し掘り下げつつ記事タイトルのペンテスター精神論を語っていきたいと思います。

 本題に入る前に、前提を少し。ペンテスターになるためにはかなりの技術力が必要であるという固定概念が持たれがちですが、ペンテスターへの 1 歩を踏み出すだけならそこまで高度なものまでは必要ではない [註 5] と思っています。今から伝えるのは、そういった技術に関するものではないですし、技術論が欲しかった方には申し訳ないんですが、「特定の開発言語をマスターせよ」とか、そういうことでもありません。ですが、これからペンテスターになりたいと思っている人にとって極めて必要なものなので、以下を読んで読者のみなさんひとりひとりに、答えを掴んでもらえればと思います。それからもう一つ。ペネトレーションテスターは職業でもあるので、当然ビジネス的な素養 [註 6] も必要になってきますが、それも今回の記事では触れないことにします。あくまでもペンテストを行う上でペンテスターに必要な要素について触れていくことにしたいと思います。

[註 5] そもそもペンテスターになりたいと思っている人はある程度基本的な技術的素養はあるだろうという前提で、例えばジョージ・ホッツ(古い)のような超ウィザード級のようなハッキングスキルが必要かと言われたら絶対に必要ない、という意味合い。
[註 6] 顧客、自組織、他のペンテスターとのコミュニケーションは超重要。発見した脆弱性、攻撃シナリオ、戦果・獲物を正しく分かりやすく伝えることは何よりも重要な仕事である。相当な技術力があってもペンテスターとしてやっていくにはこの能力は必要不可欠。だけど今回は割愛。


 最後の前置きです。これから話す内容は、もっと具体的にすることもできたんですが、これからペンテスターになろうとしている読者のみなさんには文中の“それ”が何を指しているのか考えてほしいと考え、あえて直接的な表現を避け“それ”としています。ちなみに以下の本文中の“それ”には同じ言葉が入ります。

《株式会社キーコネクト 代表取締役 利根川義英》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

ランキングをもっと見る
PageTop