ペネトレーションテスターは見た! 第4回「ペネトレーションテスター精神論」 | ScanNetSecurity
2024.06.19(水)

ペネトレーションテスターは見た! 第4回「ペネトレーションテスター精神論」

お客様からよく聞かれる質問に、「ペンテスターになるためにはどんな技術を身につければよいでしょうか?」「何か資格を取得したらペンテスターになれますか?」「どうすればペネトレーションテスターを育てられるのでしょうか?」といったものがあります。

特集
筆者 株式会社キーコネクト 代表取締役 利根川 義英 氏
 読者のみなさん、大変ご無沙汰しています。連載を重ねる毎にその間隔が長くなり [註 1] 連載 4 回目となる今回は、前回の記事掲載からなんと 2 年半も経ってしまいました。2年半も経つと世間の変化も相当なもので、私達の働く環境は大きく変わりました。最も大きな要因はやはり Covid-19 ですよね。そして、その Covid-19 対策でリモートワークが一気に浸透しつつある 2021 年 6 月、筆者が代表取締役を務めるキーコネクトは Covid-19 に負けることなく創業 7 年目をスタートすることができました。新年度を迎えた弊社ですが、こんな零細企業でも毎年会社として目標 [註 2] を立てて、1 年頑張っていこうと思うわけです。読者のみなさんも、おそらく 4 月から新年度を迎え、目標を何かしら立てたと思います。例えば、「セキュリティエンジニアに俺はなる!」「私は脆弱性診断士の資格を取ろうかしら」という目標を立てた方もいると思います。そして、「今年はペネトレーションテスターになりたい」と思った方も。

[註 1] もはや連載とは言えないレベル。
[註 2] 今年の目標のひとつ、本執筆を完了させること。これを読者のみなさんが読んでいるということは...目標ひとつ達成しました!


 そこで今回は今年こそペネトレーションテスターになろうと思った方に向けて、ペンテスターに必要な素養についてのお話を「ペンテスター精神論」として贈りたいと思います。

 弊社のお客様からよく聞かれる質問 [註 3] に、「ペンテスターになるためにはどんな技術を身につければよいでしょうか?」「何か資格を取得したらペンテスターになれますか?」「どうすればペネトレーションテスターを育てられるのでしょうか?」といったものがあります。この問いに対してズバリな回答はないと思っています。従って、筆者はたいてい「なろうと思ってなったペンテスターって多分いない [註 4] と思うんですよね。」と答えてしまっています。実際のところ、そういう資格もあるし、技術を身につける必要もあるのでそういう質問に答えようと思えば答えることは可能です。では、資格を取ったり技術を身につければ本当に望むペンテスターになれるのでしょうか?答えは「 No 」だと筆者は考えます。

[註 3] 筆者はセキュリティアドバイザーとして顧客から相談を受けるお仕事もしているのだが、顧客からは一度は必ずこの質問がでる。
[註 4] いやいないことないとは思います。が、今日からペンテスターです!  みたいないきなりジョブチェンジできるわけでもないし、ペンテスターという肩書でお仕事を始めても最初は何もできないことも多いし、少しずつ色んな技術や仕事の進め方が自然と身についていくもの、ということです。


 質問した方に対していつもこういう分かりにくい答えを返してしまうため、「この人に聞いても無駄だったな」と思われている事間違いなしの筆者ではありますが、今回はこの答えを少し掘り下げつつ記事タイトルのペンテスター精神論を語っていきたいと思います。

 本題に入る前に、前提を少し。ペンテスターになるためにはかなりの技術力が必要であるという固定概念が持たれがちですが、ペンテスターへの 1 歩を踏み出すだけならそこまで高度なものまでは必要ではない [註 5] と思っています。今から伝えるのは、そういった技術に関するものではないですし、技術論が欲しかった方には申し訳ないんですが、「特定の開発言語をマスターせよ」とか、そういうことでもありません。ですが、これからペンテスターになりたいと思っている人にとって極めて必要なものなので、以下を読んで読者のみなさんひとりひとりに、答えを掴んでもらえればと思います。それからもう一つ。ペネトレーションテスターは職業でもあるので、当然ビジネス的な素養 [註 6] も必要になってきますが、それも今回の記事では触れないことにします。あくまでもペンテストを行う上でペンテスターに必要な要素について触れていくことにしたいと思います。

[註 5] そもそもペンテスターになりたいと思っている人はある程度基本的な技術的素養はあるだろうという前提で、例えばジョージ・ホッツ(古い)のような超ウィザード級のようなハッキングスキルが必要かと言われたら絶対に必要ない、という意味合い。
[註 6] 顧客、自組織、他のペンテスターとのコミュニケーションは超重要。発見した脆弱性、攻撃シナリオ、戦果・獲物を正しく分かりやすく伝えることは何よりも重要な仕事である。相当な技術力があってもペンテスターとしてやっていくにはこの能力は必要不可欠。だけど今回は割愛。


 最後の前置きです。これから話す内容は、もっと具体的にすることもできたんですが、これからペンテスターになろうとしている読者のみなさんには文中の“それ”が何を指しているのか考えてほしいと考え、あえて直接的な表現を避け“それ”としています。ちなみに以下の本文中の“それ”には同じ言葉が入ります。
《株式会社キーコネクト 代表取締役 利根川義英》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  2. 今日もどこかで情報漏えい 第20回「2023年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

    今日もどこかで情報漏えい 第20回「2023年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. 朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(1)取材ノート

  5. 朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(3)記者会見

  6. 朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(4)実名原則

  7. セキュリティジャーナリスト吉澤亨史 バイリンガルライターになるまで 第1回「パロアルトネットワークス染谷征良氏の人生を変えた一言」

  8. ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

  9. 朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(7)「ハッカーの手口」

  10. 41歳コンビニ店長の転職

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×