写真左からNRIセキュアテクノロジーズ 金子 慧海 碓井 晃樹 小林 雅人 稲垣 俊
自分ではきちんと対策していると思っていても、意外なところに穴は潜むものです。それを洗い出し、被害に遭う前に手を打つための手段として、攻撃者の視点を持つセキュリティ技術者が、実際のサイバー攻撃に用いられる手法を用いて脆弱性を検出する「ペネトレーションテスト」(ペンテスト)への関心が高まっています。
NRIセキュアでは長年に渡ってペンテストサービスを提供し、経営層も含めたお客様のセキュリティ対策を支援しています。その核となるセキュリティエンジニアは、日々最新の技術動向を追い、実践力を身につけるべく自己研鑽しており、その証としての資格取得にチャレンジするメンバーも少なくありません。その中でも、特に新規ペンテスターにとっての登龍門である OffSec社が提供するペンテストの認定資格「OSCP」(OffSec Certified Professional)について、彼らが日々どんな思いで学びに取り組み、業務に活かしているのか、資格取得のコツも含めて伺いました。
ますます高まるペンテストのニーズ
Q:自己紹介をお願いします。
OffensiveCyberSecurity事業部 エキスパートセキュリティコンサルタント 稲垣 俊
私はセキュリティサービス提供企業に新卒で入社し、サイバーセキュリティに関する研究に携わってきました。海外で国際的な法執行機関でコンサルティング業務に従事したのち、NRIセキュアテクノロジーズに入社し、セキュリティ診断やペンテストの提供に関わっています。
実は小心者でして、「日々、安心して生活したい」という思いからセキュリティの仕事に就き、皆さんが安心して眠れる世界を作っていきたいと考えています。同時に、システムのどこに穴やリスクがあるのかを考えていく部分に知的好奇心を刺激されながら仕事をしています。
かつては簡単に穴が見つかる脆弱なシステムだらけでしたが、最近はAWSやGoogle Cloudといったプラットフォーマーが一定のセキュリティを担保し、その上でシステムが構築されるケースが常になりました。このため、診断でセンセーショナルな脆弱性が見つかるケースは減っていますが、ペンテストを実施すると結構な頻度で危険性の高い問題が見つかり、テレワーク環境など新たに構築した環境をセキュリティが万全ではない状態で運用しているケースも見られます。ペンテストへのニーズはますます高まっていると思います。
また、最近はお客様の方がセキュリティ意識を持ち、知識も詳しくなってきました。我々も専門家として最新動向に目を向けながら技術力を高め、お客様の期待に応えられるように努めていきたいと思います。
知識だけでなく応用力、レポート力も求められるOSCP
マネージドセキュリティサービス事業本部 MDRサービス部 シニアセキュリティコンサルタント 碓井 晃樹
Q:NRIセキュアでペンテスト業務に携わるには、何らかの資格が必須なのでしょうか。
Q:皆さんはこれまでにどのような資格を取得してきたのでしょうか。
私は、やや昔の話になりますが、まずベースラインとしてCISSPとOSCP、OSEPを取得し、さらにお客様のSOCが適切に機能するかどうかを評価するためにSOCのマネージャーに求められる知識を問うGSOMを取得しました。他に、SANSの研修でSEC504およびSEC 760のChallenge Coinも取得しましたが、数で言えばもっと多くの資格を取得しているメンバーがいるという印象です。
Q:皆さんをはじめOSCPを積極的に取得してる方は多いですね。さまざまなセキュリティ関連資格の中でもOSCPが必要だと考える理由は何ですか。
OSCPには二つポイントがあると思っています。一つは、碓井も触れた応用力です。何だかよくわからない課題をどう乗り越えていくか、その考え方を身につけられる資格試験だと捉えています。
もう一つは報告です。試験では結果をまとめ、最終的にレポートとして提出します。何をやったかだけでなく、その結果、お客様のどこがどう問題なのかをわかりやすくまとめなければいけません。実際のペンテストに携わる前にそういった部分も体験できるのは、とてもいいポイントだと考えています。
Q:応用力とレポートをまとめる力は、実際のペンテストでも必要になってきますよね。
そうですね。ペンテストでお客様に提出する最終成果が報告書です。わかりやすくまとめ、またお客様が次に何をされるべきかを提示することが求められますが、実際にはなかなかそうした経験を積む機会は少ないため、貴重な経験になると思います。
OffensiveCyberSecurity事業部 シニアセキュリティコンサルタント 金子 慧海
Q:ということは、24時間ぶっ続けで試験に取り組むのでしょうか?
Q:試験の前提として、ラボも含めた環境も用意されていますよね。
GIACでも、トレーニングの最後に用意されているCTFは非常に素晴らしいコンテンツです。OSCPはそういったハンズオンがたくさん用意されている、という感じです。
費用、時間、そして社内勉強会を通して技術レベル向上をバックアップ
Q:こうした学びに取り組む社員に対し、会社として何か支援はあるのでしょうか。
「ペネトレーションテストというのはお客様のシステムを試すのか、それともテスターの腕を試すのか」というジョークがありますが、お客様に一定の品質のサービスを提供するためにも、部署を挙げて皆で資格を取得しようと取り組みました。過去2年で30名以上のメンバーがOSCPの資格取得奨励活動に参加しています。一年を通して、他にもさまざまな試験を受けているため、時々チャットに「誰々が何に通ったぞ」といった情報が流れてきて、身が引き締まることもありますね。
Q:資格取得の費用や学習のための時間はどのように確保しているのでしょう。
時間についても、会社として、一人当たり年間168時間を研修や自己研鑽などの能力開発に充てるように目標を定めています。確かに繁忙期は大変ですが、閑散期にまとめて一気に学習するなど、工夫しながら勉強をしています。
Q:学習のコツは何かありますか?
Q:近道はないんですね。
自分はセキュリティのことを何も知らない段階から学習を始めました。まず広くITに関して学ぶことが大事だと考え、基本情報や応用情報、安全確保支援士、SANSのGIACという具合にベースを固めつつ、「自分は何をしたいのか」を自分に問いながら、興味のある範囲を伸ばし、ペンテストのスキルを身につけてきました。今はさらにSOC関連のことを学び、新しいことができないかを考えていますが、やはりベースがあると幅を広げやすいと思います。
ハンズオンか座学のどちらかではなく、双方をバランスよくやっていくことが大事だと思います。座学を通じてベースとなる考え方を学んだ上で、それを実際に「どうやるか」を身につけていくことで、世界に通用するセキュリティ専門家になれるのではないでしょうか。
オフェンシブセキュリティ事業本部 OffensiveCyberSecurity事業部 部長 小林雅人
資格取得を通して身につけた知識とスキル、マインドセットを活用
Q:ペンテストに関して一定のスキルを証明する資格を得た上で、この先、どのようなことに取り組んでいきたいですか?
OSCPの取得を通して、ペンテストを実施するに当たってのベースラインを得られたと感じているので、そこからさらに専門家として能力を尖らせていきたいと考えています。
また知識もそうですが、知らない環境に対していろんな角度で攻撃を仕掛けて倒し切る根性や試行錯誤する能力が、今回の試験を通して一番身についたものだと思っています。現実のペネトレーションテスト案件でも、知らないエラーが出てきて「これは何だろう」と悩む場面に多々ぶつかりますが、そういった時も諦めずに考えを巡らせてお客様の課題を炙り出し、ご報告できるようになっていると思います。
Q:企業のセキュリティ意識も高まり、ある程度の対策も実施されるようになってきました。単純な診断から、より深く問題を探るペンテストに対するニーズは高まっていますよね。
お客様の防御体制がある程度整い、監視するチームの成熟度も高まってきた今だからこそ、「本当に攻撃を受けたらどうなのか」を確認したいということで、ペンテスト、さらにはレッドチーミングの需要が高まっていると思います。
Q:普段の業務の中でどんな強みが生み出せるでしょうか。
問題を見つけ出した後、次にどういったアクションを取るべきかをお客様を交えてディスカッションしていく部分は、OSCPの範囲をこえ、案件ベースでノウハウを蓄積していく部分だと思います。同じ課題でも、最適な対策はお客様によって異なってきますから、そうしたところをわかりやすくまとめ、お伝えしていければと思います。
<関連サービス>