イエラエセキュリティ CSIRT支援室 第 18 回 OSCP、OSCE、そしてOSEE…… 世界最高峰難度のセキュリティ資格保持者、試験を語る

　イエラエセキュリティの顧問を務める川口 洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第 8 回をお送りします。

　川口 洋 氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全な ITネットワークの実現を目指してセキュリティ演習なども提供しています。

　イエラエ顧問として「川口洋の座談会シリーズ」を 2019 年に開始、サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました（「川口洋の座談会シリーズ」）。

　今回ゲストとして登場するのは、株式会社ラックよりサイバーセキュリティ事業部 セキュリティ診断部 ペンテスト技術グループの北原 憲 氏をお迎えしました。イエラエセキュリティからは、ペネトレーションテスト課の課長を務めるサイフィエフ・ルスランが、本座談会シリーズ 2 回目の登場です。（「業界トップのペネトレーションテスター2人が語る、衝撃の“脆弱性”大公開」）

　世界でも最高峰に難しいと言われるセキュリティ資格、Offensive Security の OSCE や OSEE の試験が実際にどういう内容なのか、資格保持者である 2 人から川口 洋がじっくりと話を聞きます。どうぞお楽しみください！

イエラエセキュリティ顧問/株式会社川口設計 代表取締役
川口 洋(写真右）
　2002 年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属 2013 年～2016 年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Project の運営や講演活動など、安全なサイバー空間のため日夜奮闘中。

株式会社イエラエセキュリティ 高度解析部 ペネトレーションテスト課 課長
ルスラン・サイフィエフ(写真左）
　ロシアにてシステム管理者／セキュリティエンジニアとして勤務した後、2013 年より日本にて Webアプリケーション、ネットワーク、API、自動車などの脆弱性診断業務に従事。2018 年 2 月にイエラエセキュリティに入社し、高度解析部にてペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証などを担当。Offensive Security Certified Expert (OSCE)、Offensive Security CertifiedProfessional (OSCP)、GIAC Exploit Researcher and Advanced Penetration Tester(GXPN)、Offensive Security Exploitation Expert (OSEE)などの資格を持ち、SANS NetWars Tournament 2017、FUKUSHIMAHackathon 2017、Medical × Security Hackathon 2015 などの CTF にて受賞多数。

株式会社ラック サイバーセキュリティサービス部 セキュリティ診断センター/博士(理学)
北原 憲(写真中央）
　2014 年 3 月に物理学で博士号を取得後、同年 4 月に株式会社ラックへの新卒入社に伴い、知識ゼロの状態で情報セキュリティ技術者に転向。現在はペネトレーションテストサービスの運用や、技術開発などに従事。専門誌での執筆活動や、Hardening Project などのイベント運営、コミュニティなどでも精力的に活動。Offensive Security Exploitation Expert (OSEE)、GIAC Reverse Engineering Malware (GREM)などの資格を保有。低レイヤの攻撃手法に力を入れつつ、博士号を取得した物理学の専門知識を情報セキュリティ技術に活用できないかと模索中。

●“日常業務は「ペネトレーションテスト」「レッドチーム」”

川口 洋（以下、川口）：今日は Offensive Security の資格について、お話を伺いたいと思い、お二人のプロフェッショナルに集ってもらいました。それぞれ、まずは自己紹介をお願いします。

サイフィエフ・ルスラン（以下、ルスラン）：イエラエセキュリティのルスランと申します。入社してほぼ 2 年経ちました。今はペネトレーションテスト課の課長をしています。仕事はペネトレーションテストをしたり、面白い診断を色々やっています。最近はレッドチーム対応も増えていますね。

川口：「ペネトレーションテスト」と「レッドチーム」の違いを教えていただけますか。

ルスラン：「レッドチーム」は、簡単に言いますと、会社の現在の防御の有効性を測ったり、実際に攻撃者の立場に立ってどうやって攻撃ができるかを試すテストです。ですから、社内やアウトソーシングの防御チーム（セキュリティチーム、SOC など）があって初めて、意味を持ってくるテストになります。

「ペネトレーションテスト」は、一つのシステム（Webサイト、サーバなど）だけを対象にして侵入できるかということをテストする場合もあれば、外部に公開されているリソースからインフラ全体まで対象にした大きな範囲のテストもあります。

ペネトレーションテストもレッドチームも、ほとんどの場合シナリオ型での依頼です。ペネトレーションテストは、レッドチームの一部のシナリオに絞って実施する感じですね。レッドチームの場合は、幅広く、会社全体を対象にすることが多いです。

川口：レッドチームとペネトレーションテストの依頼はどちらが多いですか？

ルスラン：まだペネトレーションテストの方が多いですが、最近レッドチームの依頼も増えてきていますね。

川口：肩書きは「課長」ですけど、課のマネジメントより侵入しまくってる感じですね（笑）。では、北原さん、お願いします。

北原 憲（以下、北原）：LAC の北原です。仕事としてはルスランさんと似た仕事をしていて、ペネトレーションテストやレッドチームの運用が多いです。私の場合は技術監修や、新しいサービスに繋がるような技術の開発にも力を入れています。最近はアカデミックなところもやらせていただいています。

川口：北原さんはどちらの依頼が多いですか。

北原：ペネトレーションテストの方が多いですね。

川口：興味本位な質問ですが、ペネトレーションテストを実施する最長期間って、これまでどれくらいでしたか？ 1 年とかはかからないですよね。

北原：1 システムなら長くても 1 週間くらいですね。拠点が多いと 1ヶ月かかったりします。

ルスラン：ペネトレーションテストは長くても 1ヶ月くらいですね。レッドチームは、シナリオによって準備や実施に時間がかかる場合もありますので、期間も延びる場合があります。

川口：お二人のような技術レベルの方を 1 週間拘束してやるテストというのは、物凄い手間とコストかけてやる内容なんだろうなという感じがしますね。

●声をかけたのは“KALI Linux”のTシャツがきっかけ

川口：お二人は知人同士ということなんですが、出会ったきっかけを教えていただけますか。

北原：初めて会ったのは 2 年前の SANS のトレーニングですね。その時は話すタイミングが無かったんですが、私が KALI Linux の Tシャツやパーカーを着ていたのが気になってたらしくて。翌月の BlackHat USA 2017 で同じものを着ていたところ、ルスランさんが「SANS のトレーニングにいた人だよね？」と話しかけてくれました。

川口：そうやって印象付ける作戦ですね。ルスランさんはそれに引っかかったと。

北原：ああいうイベントでは、周りの目を引く意味で、当たり障りがない“そういう”シャツを選んでるところはありますね。

川口：今日も OffensiveCon のTシャツを着てますね（笑）。2 年前の SANS のトレーニングはどんな内容だったんですか。

北原：ネットワークのペネトレーションテストと Exploitコードの解析です。「SECURITY 660」と呼ばれる 6 日間のコースです。（「SECURITY 660」 2018年応募要項）

川口：6 日間、毎日 KALI のシャツを着てたんですか？（笑）

ルスラン：Tシャツだけじゃなくて、私は結構、顔も覚えられますから（笑）。

川口：そういうトレーニングを受ける人も多くないですしね。SANS のトレーニングは日本で開催されたんですか？

北原：日本でそのトレーニングをやるのは、その時が初めてだったみたいですね。参加者は 20 人くらいだったと思います。

川口：北原さんと話していると、何かのトレーニングを受けた時に「ルスランさんと一緒でした」という話が多いですよね。2 人とも似た業務をやっているということで、資格やトレーニングの志向性が近いんですかね。

北原：日本は、リバースエンジニアリングなどの分野の技術者は活躍している方が沢山いらっしゃる印象がありますが、攻撃側の技術者ではそれほど多くないように思います。その意味で、ルスランさんとは同じレベルで攻撃技術の話が出来るということで、よく一緒になります。最近はレッドチームやペネトレーションテストについて複数の会社で話し合うワーキンググループを作っていて、そこで一緒に活動もしています。

●自動化スクリプトで争奪戦が繰り広げられるトレーニングチケット

川口：今日聞きたかったのは、Offensive Security のやっている、沢山ある資格についてです。Offensive Security の会社を見てみましたが、いろんな資格があるんですよね。

OSWE(Web Expert)
OSCP(Certified Professional)
OSCE(Certified Expert)
OSWP(Wireless Professional)
OSEE(Exploitation Expert)

まず Offensive Security という会社について教えてもらえますか。この会社はトレーニング専業の会社ですか？

ルスラン：コンサルティングもしてるし、ペネトレーションテストもしてます。「KALI Linux」やその前身の「BackTrack Linux」を作ったのがきっかけで、トレーニングもやるようになったんじゃないかなと思います。

川口：Kali Linux をだしている会社だったんですね。それは知らなかった。例えるなら「スーパーマリオブラザーズを任天堂が出していることを知らなかった」くらいの話ですね（笑）失礼しました。ペネトレーションテスト用の機能がたくさん入ってる KALI Linux を作ってる会社がやっている試験ということですね。すごい会社じゃないですか。KALI Linux を知っていても、それを知らない人は多いんじゃないんですか。

ルスラン：KALI をインストールしようとするとこの会社の Webサイトにリダイレクトされるので、それで知ってる人もいるんじゃないですかね。

Offensive Security は元々、Exploitコードを開発する会社だったので、その知識を共有するという意味合いでトレーニングも出そうということになって、その後 OSCP（Certified Professional）を出した…という歴史だったと思います。トレーニング自体は 2008 年頃から始まっていて、OSCP のトレーニングは 2010 年くらいからやっていると思います。

北原：OSCP は、最近は日本でも、ペネトレーションテストをする人が資格として取る人が増えてきましたね。

ルスラン：OSCP はペネトレーションテスト系で、OSCE が Exploit 開発の簡単なもの。その次のレベルが OSEE になります。

川口：ちなみにルスランさんは、この中のどれを持っているんですか。

ルスラン：OSWE だけ持ってないですね。これはつい最近オンライン化されたばかりのトレーニングなんです。

北原：OSWE は資格ができたのが今年（2019 年）の 5 月くらいなんです。

川口：北原さんはどうですか。

北原：私もルスランさんと同じで、OSWE 以外は持っています。

川口：2 人とも資格総なめにしてる感じですね。5 つの資格があって、2 人とも 4 つ持っているということですね。上から取っていくのが普通なんですか。

ルスラン：そうでもないですね。ペネトレーションだったら OSCP で OK だし、OSWP は WiFi なので取りたい人は取る、OSCE と OSEE は Exploit開発だったり低いレイヤのことを知りたい人が取る感じですね。

川口：この資格はオンラインで受けるものなんですか。

北原：試験はオンラインでの受験なんですが、OSEE に関してはトレーニングを現地で受ける必要があります。OSEE 以外の資格を受験するためのトレーニングはすべてオンラインで受講可能です。

川口：トレーニングはどこでやっているんですか。

ルスラン：OSEE のトレーニングは、基本的には Black Hat USA でしか受講できません。ただし、今年初めて BlackHat Asia 2019 でも行われました。

北原：ルスランさんと 2 人で、シンガポールまで Black Hat Asia 2019 で開催されたトレーニングを受けに行きました。

川口：トレーニングは何日かかるんですか。

北原：4 日間です。帰ってきてから試験を受けます。

ルスラン：この試験で大変なのはトレーニングを申し込むところなんです。アメリカだと公開されてから 20 分くらいで席が埋まっちゃうんですよね。

川口：人気なんですね！

ルスラン：年に 1 回しかチャンスがなくて、20 人か 30 人しか受けられない。皆、申し込み用のスクリプトを書いて、それを実行しながら待ってるような感じですね。

川口：セキュリティ業界のトレーニングが、人気のジャニーズのコンサート並の競争率なんですね（笑）。そういうプロフェッショナルが受けるんだから、犯罪にならない程度に申し込みを自動化するのも分かる気がします。

北原：アメリカの ShmooCon もそんな感じだと聞きます。

川口：資格を取るのが大変なだけじゃなくて、席を取るのがそもそも大変なんですね。お二人ともよく受けられましたね。

北原：BlackHat Asia の情報が発表されるまでシンガポールでトレーニングがあることを誰も知らなかったのでマークが甘かったのと、アメリカの人はアジアに来るのは腰が重いみたいで、なんとか大丈夫でした。人気のトレーニングでもアメリカ以外の開催だと意外と予約が取れたりします。

ルスラン：これはトレーナーが言っていたことですが、トレーニングを受けても資格試験を受ける人はそんなに多くないみたいです。自分の意思で来ている人だけではなくて、会社の指示で来ている人もいる。

川口：無事にトレーニングを受けた後、オンラインの試験は日程が決まっているんですか。

北原：候補日がいくつか決められているので、自分で予約します。

ルスラン：候補日はかなり少ないです。OSCP は週に数日はあるんですが、OSEE は月に 2～3 日くらいしか枠がないんです。

川口：環境作るのも大変なんですか。

ルスラン：どの試験も、VPN などで Offensive Security が用意した環境にログインして、実技をします。

●海外では資格取得が業務要件であるほどスタンダード。一方、日本は…

川口：いろいろある資格の中から、最初に OSCP（Certified Professional）について話を聞きたいです。OSCP はどれくらいの人が持ってる感じですか。

北原：最近は、取ってる人は増えてると思います。

川口：LAC で OSCP 持ってる人は他にいますか。

北原：うーん、多分、自分だけですね。

ルスラン：イエラエも自分だけです。勉強中の人が 5 人くらいいます。

川口：他の会社も含めると、身近な人で、持ってる人どれくらい頭に浮かびますか。

ルスラン：5 人くらいですね。

北原：自分もそれくらいです。前に LinkedIn で調べてみた限り、日本在住では 20～30 人くらいはいる感じでした。

ルスラン：日本ではまだ資格が必須という状況ではないし、クライアントも要求しませんから、必要が無いですよね。外国だと資格を持ってるのがスタンダードになっているところが多くて、チーム全員が持ってないといけないというような条件の案件もあるようです。

川口：業務要件に入ったりしてくるわけですね。日本だとまだそういう状況にならないので、資格を取るモチベーションが上がらないわけですね。要件に入れると受けられる会社が無くなってしまいそう。

お二人は、OSCP をいつ取ったんですか？

ルスラン：4 年位前ですね。

北原：私は 1 年半位前です。

川口：そこから立て続けに資格を取ってるわけですね。

北原：最初に取ったのが OSWP（Wireless Professional）で、それが 2 年前位。そこからですね。

川口：Wireless だけで一つコマが出来るくらい、内容が濃いわけですね。

ルスラン：それはそうなんですけど、資格を取ってすぐに仕事ができるというよりは、ベースの知識を作るイメージです。もちろん、情報が古くなったりしますから、ここから最新の技術を勉強して仕事ができるようになるということですね。

北原：OSCP の試験内容は「24 時間以内に VPN環境に用意した 5 台のマシンにどれだけ侵入できるか」というもので、その後に報告書を書く時間が 24 時間あります。報告書まで含めて合格点に達しているかのテストです。

川口：48 時間ぶっ通しの試験なんですね。

北原：レポートを書く時間はどの試験も 24 時間で、実技の時間がそれぞれ違います。OSWP は 4 時間、OSCP は 24 時間、OSCE が 48 時間、OSEE が 72 時間。最近できた OSWE は 48 時間です。

川口：OSCP と OSCE はどこが違うんですか。難しさだけですか。

ルスラン：難しさというより、コンテンツの内容が全く違いますね。

●72 時間ぶっ通し！Exploit開発の課題を突破して OSEE 取得

川口：OSEE は 72 時間の実技時間ということで、この資格の中でもずば抜けた長時間ですね。本当に大変なんですね。

北原：OSCP は問題が 5 個で OSCE は 4 個なんですが、OSEE は問題が 2 個なんです。数は少ないんですけど、それを 72 時間かけて解く、という。

ルスラン：かなり、難しいです。

川口：2 人とも、どうやって時間をつくって、試験を受けたんですか。仕事やりながら、なんて無理でしょう。

ルスラン：自分は金曜日から日曜日まで 3 日間かけて受けていました。

北原：報告書を書く時間は仕事とかぶらせましたが、実技の時間は全部空けるようにしました。

川口：すごいな。CISSP を受けたときに 6 時間の試験でもなかなかハードだなと思っていましたけど、そんな数字聞いちゃうと比べものにならないレベルですね・・・。

OSEE について伺いたいんですが、この内容はどんなものなんでしょうか。この資格は「Advanced Windows Exploitation（AWE）が前提」と書いてあるんですが、これは何ですか？

ルスラン：内容は Exploit開発ですね。AWE はトレーニングの名前で、そのトレーニングを受けた後に OSEE の試験が受けられます。

北原：Windows のバイナリファイルと Windows のカーネルを Exploit するコードをどうやって書くかというのが、トレーニング内容ですね。

この前の 8 月に内容が更新されたらしいんですが、私たちが受けた頃は 3 つ課題がありました。1 つめが Flash Player の Exploitコードを書く、2 つめが Windows の Microsoft Edge の脆弱性を使って Exploitコードを書く、3 つめが FortiGate のカーネル・ドライバの脆弱性を使って権限昇格をする、という内容でした。

川口：話を聞いてると「そんなこと、できるんだ？！」と驚くような内容ですね。

北原：トレーニングの前に宿題があるんですが、ちゃんと動かないバイナリファイルを渡されてそれを直して送る。それが終わると次に 20 個くらい文献を渡されて、合計 2～300 ページくらいの記事なんですが、それを全部読む。その後にトレーニング…といった内容でした。

ルスラン：トレーニング自体も、一瞬油断すると全く分からなくなる程の難しいレベルでした。

川口：ハードですね……！ Exploitって書いたことある人が少ないと思うんです。使ったことある人は多いと思いますが、書いたことは、まず無い。どんな言語を使うんですか。

北原：FlashPlayer だと ActionScript を使うことになりますし、Edge は JavaScript です。

ルスラン：ブラウザ系はだいたい JavaScript ですね。

北原：Windows は、普通だったら C++ か C# か PowerShell だと思うんですが、Offensive Security社は Python を使ってやっていましたね。Python も Windows の低レイヤのプログラムができるようになっていますし、他のプログラミング言語と比べると馴染みやすくて、比較的今使える人が多いですから。でも、基本的にはいろんな言語が使えないと駄目ですね。あと、やっぱりアセンブリ言語が出来ないと駄目です。

ルスラン：一番はアセンブリ。その上で、C や Python という感じ。

川口：「このプログラムを攻略せよ」という課題に対して、言語は自由って感じなんですね。2 人でやっていて、ゴールに至るアプローチというか、出来上がってくるコードって違ったりするんですか。

北原：最終的にできたコードを見比べると、意外と違ったりしますね。お互いバックグラウンドが違うから、考え方が違うことが多いですね。相手と話していて「あ、そういうのもイケるんだ」と思うこともありましたね。

ルスラン：大まかな流れは一緒ですが、そこにたどり着く道のりやイメージが違う感じですね。

川口：OSEE では 2 つの課題を 72 時間で解くとのことですが、そのうちどれくらい時間かかったんですか。3 時間で出来るのか、72 時間でギリギリなのか…？

北原：1 日 8 時間程度の睡眠時間を抜いて、残り時間が 48 時間とすると、2 人ともけっこうギリギリ時間を使ったと思いますね。

ルスラン：経験によると思いますね。元々 Exploit を 10 年とか書いてた人とかだと半日くらいで書けるかもしれない（笑）。

川口：いま似た問題を渡されたら、半日くらいでできそうですか？

北原：……丸一日かかりそうな気がします。

北原：試験問題は、トレーニングに比べると問題は少しだけ易しめになっていて、トレーニングを受けていれば、ある程度は受かるような形になってると思います。トレーニングと同じ環境でやると合格する人がほとんどいないんじゃないでしょうか。

ルスラン：トレーニングは教科書どおりにやろうとしても動かなかったり、教科書に指示があってもどうやって実装するか分からなかったりして難しかったですね。北原さんと話しながらやっていました。

川口：同じタイミングで受けると切磋琢磨ができていいですね。

北原：Windows も Linux もそうですが、最近の OS は Exploit からの防御機構が OS 側でしっかりしてきているので、Windows7 では簡単にできたことが 10 で出来なかったりするんです。今回のトレーニングは Windows10 の環境でやっていたので、その保護機構をどう回避するかが多かったんですが、テストではそこは出なくて、Exploitコードを書く基礎的な知識を問うのがメインだったので、そこはトレーニングと試験で違うところでしたね。

川口：72 時間の実技の後、24 時間かけてつくる報告書には、何を書くんですか。プログラムの説明をするんですか？

ルスラン：1 行ごとに説明する感じです。「この処理をしたらバッファがオーバーフローして、この数字が入って……」というような流れを書いていきます。

北原：各問題ごとに侵入成功や権限昇格したらアクセスできる、フラグとなるファイルがあるので、そのフラグのハッシュ値を載せたり、スクリーンショットを貼ったりします。

ルスラン：フラグだけだと説明不足になるので、理解して説明できるかが重要です。もちろん英語なので、それが結構大変ですね。

川口：報告書は何ページくらい書くんですか。

北原：今回は 2 人でかなり差が出て、ルスランさんは 50 ページ、私は 120 ページ書きました。

ルスラン：北原さんは、細かくものすごく丁寧に説明してましたからね。OSCP の報告書と比較すると、OSCP は 5 台のマシンそれぞれの流れを書いて 2 時間くらいで終わりましたが、OSEE の報告書は全部で 10 時間くらいかかりました。

川口：採点する人も大変ですよね。報告書を送って、どれくらいで結果が出るんですか。

北原：OSCP、OSCE は送った翌日くらいに結果が出たんですが、OSEE は 3 日か 4 日くらいかかりました。

ルスラン：自分が書いたコードも送る必要があるので、それを実行してちゃんと動くか確認して、その後レポートの説明内容が合ってるか確認して、というところですよね。

川口：結果は合否だけ来るんですか。点数が来る？

北原：点数は来なくて合否だけですね。

ルスラン：これまでで一番難しかった。

●“常に新しいスキルを身につけつつ、専門性を磨いていきたい”

川口：OSEE を取ろうと思ったモチベーションって何ですか。OSCE まで取ったから次も取るか、という感じですか。

ルスラン：当時は Web診断を仕事でやっていたんですが、トレーニング費用を会社が出してくれるということだったので、新しいことを勉強しようと思った時に、OSCP が一番難しそうだから受けてみようと、ペネトレーションテストを勉強し始めました。OSCP が受かったから、次は OSCE を。自分にとって新しいスキルセット、新しいことを身に付けるのが、とにかく面白いですね。

OSEE はやろうと思ってたんですが、枠が埋まっていたし、内容も難しかったので少しずつ勉強して。今回やっと受けられたという感じですね。

北原：私の場合は、単純に、内容が難しいから力試しで受けてみたい、自分の技術力がどれだけ高くなったか確認したい気持ちからですね。あと、外部に証明できるような基準になるものが欲しかったというのもあります。

川口：「難しいから」というのは、2 人にとってのモチベーションのキーワードみたいですね。

OSEE に受かると、貰えるカードがあるんですね。ここに書いてある 6 桁の番号は、2 人違うんですか？

北原：海外のコミュニティで 20 人くらい知り合いが持ってるんですが、番号は一貫性がなくてバラバラでしたね。

ルスラン：クライアントが確認をするときに、その番号を Offensive Security に連絡をして、本当に資格を持ってるか確認できるようです。

北原：Offensive Security の人に聞いた話から考えると、現状だと世界でも 100 人くらいしか持ってないカードだと思います。確定ではないので何とも言えませんが。

川口：「Tried Harder」って書いてありますね。

北原：Offensive Security のキャッチコピーが「Try Harder」なんです。なので、試験を受け終えると「Tried Harder」になるんです。

ルスラン：試験についてフォローしてくれるチャットサポートの人がいるんですが、何か分からないコトがあって聞いても「Try Harder」って答えしか返ってこなかったりします（笑）。

川口：OSCP や OSCE も同じようにカードが来るんですか。

ルスラン：自分が 4 年前 OSCP に合格したときは無かったんですが、最近は全部来るみたいです。なんでカードがあるんでしょうね、見せたりする機会はあるのかなぁ、と思ったりします。思い出のためかもしれません。

川口：カードを無くす人も出てきそうですね。資格に興味が無い人とか。

ルスラン：OSEE は取るのはかなり苦労するので、大事にすると思います。

北原：こういう試験って、受かった後に嬉しい気持ちはもちろんありますが、「もっと頑張らないといけない」という気持ちの方が強いですね。

川口：OSEE も取ったし、次は Web のやつ（OSWE）を取ろうかな、という感じですか？

北原：そうですね。ちょうどトレーニングを受け終わったところなので、あと数ヶ月したら試験を受けようかと思っています。

ルスラン：私も時間が空いたら受けたいと思います。今は仕事が多すぎるので。

川口：この業界は今から年度末の対応が忙しいですからね。

ルスラン：BlackHat Asia は 3 月だったと思いますが、頑張って行こうと思います。

北原：ベルリンの OffensiveCon は 2 月なので、会社に事前にお伺いを立てて行くつもりです。

川口：2 人ともここまでやってれば会社にもそういう立ち位置と思ってもらえるんじゃないでしょうか。OffensiveCon はルスランさんは行きますか。

ルスラン：考え中です。

北原：一昨年始まったばかりなんですが、去年は 3 人くらいしか日本人いなかったですね。日本から行く人はあまり多く無いと思います。

ルスラン：2 月のドイツは寒いんじゃない？

北原：今年は東京より暖かかったと思いますよ。

ルスラン：じゃあ行こうかな（笑）。

川口：楽しみですね。Offensive Security の資格はもう攻略直前ですよね。

ルスラン：資格は他にあまり無いですが、面白いトレーニングがあればそれを受けて新しいスキルを身に付けようと思います。トレーニングでは、まだ参加したいものがいくつかあります。2 月ドイツに行くのであれば、Ionescuさんという人が Windows の Internal の部分、一番低いレイヤの API の部分をやっていくトレーニングがあるので、そこを勉強しようかなと。

川口：これだけやっててもまだ新しいスキルがあるんだな、っていうのが奥が深いですね。新しい技術がどんどん出てきますし。

ルスラン：無限ですね。同じ分野でもどこまで深く行くかもありますし、幅広くしようとしても勉強が必要になりますね。

川口：では、今後の抱負を聞いて終わりにしたいと思います。仕事は頑張るとして、技術的にどこを鍛えたいとか、ありますか？

ルスラン：これからは幅広くというよりは深めに、Windows の研究やペネトレーションテストとレッドチームに必要なテクニックやツールなどの開発をやっていこうと思ってます。

北原：私もまだまだ受けたいトレーニングがたくさんありますが、自分は技術者としての専門分野が固まっていないので、Offensive Security の資格を取り終わったらちゃんとした専門分野を作ってそっちをがんばりたいなと思っています。セキュリティ業界に来るまでは大学で物理の勉強をしていたので、物理の研究が活かせる分野でセキュリティに関わりたいと思っています。

基本的にはマルウェア解析やカーネル Exploit など低レイヤのことをやっていますが、今後はハードウェアハッキングとかそちらに力を入れたいと思っています。マルウェアというよりはルートキットやブートキット、ブートローダみたいな話を始め、IoT というよりはハードウェア全般の攻撃手法を専門とする攻撃技術者になりたいと思っています。

川口：物理学の博士号を持っているんですよね。物理も使えるセキュリティ人材ということで、楽しみですね。今回はお二人ともありがとうございました。