※ この記事は 2021 年 8 月 20 日公開のYouTube動画を元に記事化されました ※
セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。
ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第 2 回目は、イエラエセキュリティ 高度解析課 三村 聡志 氏と、イエラエセキュリティ ペネトレーションテスト課でさまざまなペネトレーションテストを担当しつつ、「ハッカーの学校 ハッキング実験室」「ハッカーの学校 IoTハッキングの教科書」「ハッカーの技術書」の著書を持つ村島 正浩が、ペネトレーションテストを行うペンテスターの仕事の面白さやスタッフ育成について語ります。
●ペンテスターにとって、最もうれしい瞬間
三村聡志(以下、三村):ペネトレーションテストに携わる、いわゆるペンテスターである村島さんにとって、さまざまなテストを経験してこられたなかで「これができてうれしかった」というのは何でしょうか?
●シナリオゴールの達成
村島正浩(以下、村島):どの案件かにかかわらず、すべての案件でシナリオゴール、つまりペネトレーションテストに際して事前に設定した攻撃目標を達成したときです。ペネトレーションテストはシステムに侵入し、ゴール達成に至るまでの侵入経路や攻撃手法をレポートし、改善策を提案します。ゴール達成自体が目的ではありませんが、それでも案件を開始して、シナリオゴールを達成するまではメンバーは誰も何も話さないようなムードになります。
●緊張感をもって取り組む
シナリオゴールを達成し、そこから継続調査を行い、お客さまの情報をさらに集約して改善案を検討する段階となって、ペンテスターはやっと安心できるという感じです。各案件、緊張感をもって進めています。
●若手ペンテスターを育てるには
三村:はじめてペネトレーションテストに携わるような若手は、ゴール達成自体がかなり難しいと思います。若手とベテランの作業分担や知識の共有はどのように行っているのですか。
●若手ペンテスターが参加できる案件
村島:ペネトレーションテストを行う案件の概要から、おおよその温度感、規模感、難易度がわかります。若手には、まずは過去に似たような類似案件があり、経験がまだ浅いエンジニアでも対応できるだろうと判断した案件から参加してもらいます。
●実際の操作を見て学ぶ
村島:例えば、我々が使っているペネトレーションテストツール「Ninja C2」は、他のスタッフの操作を見ることができます。このコマンドには、こういったオプションをつけるなど、先輩のやり方を実際に見て、学んでもらう。もちろん、いきなり実際の案件に加わってもらうことは難しいので、まずは十分にトレーニングを積んでもらい、検証用のラボなどで、攻撃を行ったり、C2 を実際に使ってもらいながら勉強してもらう。C2 の操作については、ある程度のレベルまで習熟した段階で案件に加わってもらいます。
●成長し続けることが重要
三村:私も実際に C2 の画面を見ながら、「この人は、こんなところまで侵入しているんだ」と驚いたことがありました。操作に慣れたうえで、実際のペネトレーションテストの中で、先輩社員が実際に取り組む様子を見ながら、現場で学んでいく。そうした取組が非常に有用だというのはよくわかります。
村島:トレーニングを受ける機会があれば、どんどん受講してもらいます。攻撃方法をはじめ、いろいろなことが年々変化していきますので、インプットは非常に大事です。
●OSCP は役に立つのか?
村島:よく、ペネトレーションテストに関する資格である「OSCP(Offensive Security Certified Professional)」を持っていると実際に役に立ちますか、などと聞かれるのですが、一番大切なことは、継続して高品質なサービスを提供していくことです。そのための資格取得であり、さらに資格取得にとどまらない努力を継続して行うことがこの仕事には不可欠です。
三村:「大学に入学することがゴールではなく、何を学ぶかが大切」などと言われますが、それと同じ。資格を取ることは、技術力を証明することにつながりますが、でもそのあとが重要で、そこから技術力や理解力を伸ばしていかないといけないですね。
●資格+日々のトレーニング
村島:資格を持っている人はイエラエには数多くいます。そして、資格を持っているだけの人よりも、毎日、実際にいろいろな検証に取り組んでいる人の方が持っているスキルも向上していきます。資格取得というスタート地点が同じだったとしても、トレーニング量とか勉強量でその後は大きく変わっていきます。
三村:「好きこそものの上手なれ」ですね。私も趣味でいろいろ取り組んでいますが、好きでやってみることが成長の秘訣と言えますね。
村島:イエラエの企業色というか、イエラエのエンジニアにはそういう人が多いですよね。
●資格取得はペンテスターに必要か
三村:さきほど OSCP の話が出ました。私は OSCP は、いきなり取得を目指してもいいかなとも思うのですが、OSCP を取得する前段階で取得しておいた方が良い資格はありますか。たとえば「脆弱性診断士」とか「情報処理安全確保支援士」などの資格は持っておいた方がいいのか、特にそれほど必要ではないのか、どうお考えですか。
●取ること自体に意味がある
村島:資格を取った人自身が「資格なんて、大したことない」など、その資格の価値を下げているような風潮もあると思うのですが、資格はまず取ること自体に意味があると思います。
●IT業界に不可欠な基礎知識を網羅
村島:例えば、情報処理安全確保支援士を取るために、応用情報技術者試験のための勉強をしたというレベルを想定すると、応用情報技術者試験は IT業界で仕事をするための知識セットが網羅されていて、大企業でエンジニアの人事を管理しているような人も応用情報技術者試験の取得を推奨しています。知識づくりの基本になるものでリアリティがあり、クオリティもある。そのための勉強をしたということは重要になると思います。
●お客さまのビジネスを理解する
三村:ペネトレーションテストでは、お客さまにとってどういうものがリスクで、どういうものが大切かというゴール設定を行いますが、情報処理安全確保支援士には、その際に必要になる大切なこと、コアとなることが詰まっていると思います。お客さまのことを思いやり、どういうビジネスなのかを理解するという、ペネトレーションを仕事として行うにあたって必要な知識とか、ベースの知識を得ることができる。
●社内外から信頼されるペンテスターに
三村:まず情報処理安全確保支援士を取得し、そして OSCP などより高度な資格取得を通して技術を身につけてもらう。その 2 つを兼ね合わせると、ペンテスターとして案件にかかわり、一人前のペンテスターとしてお客さまに、そして社内から信頼が得られるようになるのではないでしょうか。
●ペネトレーションテストはイエラエへ
村島:ペネトレーションテストは、高度なセキュリティ技術と手法でシステムに侵入し、脅威に対する対策状況を評価します。現在導入している対策や防御機構で防御できること・できないことを明らかにし、現状のセキュリティ対策がどの程度機能するかのリスク評価を行います。さらにセキュリティ対策の投資効果(ROI)の判断や社内のセキュリティ意識の向上にもつながります。ぜひご相談ください。
次回も引き続き、村島さんに登場していただき、ペネトレーションテストの侵入後の探索についてお聞きします。お楽しみに。
