セキュリティ・キャンプ全国大会2022オンライン、参加者がペンテスターに興味を持ったこととは？

こんにちは、デジタルペンテスト部の田端です。

今年の8月8日～12日に、セキュリティ・キャンプ全国大会2022オンラインが開催されました。参加者は22歳以下の学生さんで、課題を突破して参加をもぎとった将来有望な若者たちです。

私は企業イベントの枠で、デジタルペンテスト部で提供している「ペネトレーションテスト」サービスを紹介しました。その中で、ペンテスターと呼ばれる人たちと参加者にどんなやり取りがあったのか、一部をご紹介したいと思います。

ペネトレーションテストを担当しているペンテスターとの交流タイム

ペネトレーションテストとは

ペネトレーションテストとは、サイバー攻撃手法に関する高度な知見と、最先端の技術を持つセキュリティエンジニアである「ペンテスター」が攻撃者の視点で調査を行い、サイバー攻撃によって攻撃者が達成したいと考える「目的」を達成できるかを実証するテストです。

私たちは、そのペネトレーションテストを、「企業ネットワーク」「アプリケーション」「オンラインゲーム」「IoTシステム」を対象に実施しています。

このようなサービスを提供している「ペンテスター」と一緒に、具体的な仕事内容や、ペンテスターの1日の過ごし方などについてお話ししました。

そこでいただいた参加者の方からの質問とペンテスターの回答内容の一部を紹介します。

ペンテスターとのQAタイム

Q：ペネトレーションテストを実施する際に使用するツールは、オープンソースのもの？それとも内製でエクスプロイトから作ることが多い？

A：内製のツールは長期的に使うことを考えるとメンテナンスが大変だったりするので、オープンソースのものを利用することが多いです。オープンソースのツールを利用するメリットは、ツールの情報が公開されているので新しいメンバーが増えたときに、各自で勉強がしやすいです。
また、ツールは、お客様環境に合わせてカスタマイズをする必要があります（パスワードを早く見つけられるようなPowerShellとか）。お客様環境に合わせて必要なカスタマイズするためのプログラミング能力が大事だったりします。

Q：いつからセキュリティの仕事に関わりたいと思った？

A：中学生の時に、WEBアプリを作るなら、守るための脆弱性を知っていないといけないことを知りました。そこから攻撃手法を学び始めたら面白くて、セキュリティ・キャンプへの参加やCTFをやり始めて、仕事もセキュリティエンジニアを選びました。
ラックを選んだ理由は、『即！西本』特別技能CTFチャレンジが面白かったのと、デジタルペンテスト部でやっていた、ペネトレーションテストの技術やIoTデバイス解析などのセキュリティ技術が学べるインターンシップが楽しかったので、ラックへの入社を決めました。

Q：どんな人がペンテスターに向いている？

A：知的好奇心がある人が向いていると思います。仕事の中で技術を学ぶのはもちろん、日常の中で技術情報に興味を持って、学ぶために実際に技術を試して取り組める好奇心がある人は、どんどん能力が高まります。そのように常日頃から自然と積極的に技術に関わっていける人は、この仕事に向いていると思います。

おわりに

セキュリティ・キャンプ全国大会2022オンラインで私たちがお話をさせていただいた一部をご紹介しました。短い時間でしたが、参加者から積極的に質問やコメントをいただけて、とても楽しかったです。これをきっかけに、ラックやペネトレーションテストに興味を持ってくれる方がいたら嬉しいなと思います。

ペネトレーションテスト・ペンテスター関連参考情報：

• 現役ペンテスターが語るペネトレーションテストのお仕事
• 脆弱性診断とペネトレーションテストの使い分け─サイバー攻撃から企業を守る