OSCP合格のリアル｜単なる資格取得ではない「スキル」と「根性」を鍛えるプロセス｜ブログ

blogtop_pt2 写真左からNRIセキュアテクノロジーズ　金子慧海　碓井晃樹　小林雅人　稲垣俊

自分ではきちんと対策していると思っていても、意外なところに穴は潜むものです。それを洗い出し、被害に遭う前に手を打つための手段として、攻撃者の視点を持つセキュリティ技術者が、実際のサイバー攻撃に用いられる手法を用いて脆弱性を検出する「ペネトレーションテスト」（ペンテスト）への関心が高まっています。

NRIセキュアでは長年に渡ってペンテストサービスを提供し、経営層も含めたお客様のセキュリティ対策を支援しています。その核となるセキュリティエンジニアは、日々最新の技術動向を追い、実践力を身につけるべく自己研鑽しており、その証としての資格取得にチャレンジするメンバーも少なくありません。その中でも、特に新規ペンテスターにとっての登龍門である OffSec社が提供するペンテストの認定資格「OSCP」（OffSec Certified Professional）について、彼らが日々どんな思いで学びに取り組み、業務に活かしているのか、資格取得のコツも含めて伺いました。

ますます高まるペンテストのニーズ

Q：自己紹介をお願いします。

fig-9872 OffensiveCyberSecurity事業部エキスパートセキュリティコンサルタント　稲垣俊

稲垣：

私はセキュリティサービス提供企業に新卒で入社し、サイバーセキュリティに関する研究に携わってきました。海外で国際的な法執行機関でコンサルティング業務に従事したのち、NRIセキュアテクノロジーズに入社し、セキュリティ診断やペンテストの提供に関わっています。

実は小心者でして、「日々、安心して生活したい」という思いからセキュリティの仕事に就き、皆さんが安心して眠れる世界を作っていきたいと考えています。同時に、システムのどこに穴やリスクがあるのかを考えていく部分に知的好奇心を刺激されながら仕事をしています。

金子：私は2020年に新卒でNRIセキュアに入社し、セキュリティ関連の業務を担当してきました。学生の頃からCTFというセキュリティ関係の競技にハマっており、セキュリティを仕事にしたいと思っていました。今は、主にお客様がWebシステムなどを構築する際の設計評価やセキュリティ診断、ペンテストを担当するかたわら、新人研修の講義なども担当しています。

碓井：私は2019年にNRIセキュアに入社しました。当初はクレジットカード情報を保有する企業向けのセキュリティガイドラインであるPCIDSSの準拠支援を主に担当していましたが、徐々にペンテストの割合が増え、専門として担当するようになりました。さらに今年の4月から、セキュリティオペレーションセンター（SOC）と運用監視サービスを提供する部署に異動し、守る側を支援しています。社内トレーニング制度の一環で、短期留学的に別の部署で経験を積むことを目的にしたものです。攻撃側の知見を持った上でSOCという守る側の業務に関する知見も積み、それをいずれペンテストのサービスに還元していきたいと考えています。

小林：私はこの中ではいちばんの古株で、2005年にNRIセキュアに新卒で入社しました。Access Checkという製品の開発・運用部隊に所属したのち、セキュリティ診断をサービスとして提供する部署に配属され、PCIDSS準拠支援やセキュリティスキャン、ペンテストなどの事業全体を見ています。

かつては簡単に穴が見つかる脆弱なシステムだらけでしたが、最近はAWSやGoogle Cloudといったプラットフォーマーが一定のセキュリティを担保し、その上でシステムが構築されるケースが常になりました。このため、診断でセンセーショナルな脆弱性が見つかるケースは減っていますが、ペンテストを実施すると結構な頻度で危険性の高い問題が見つかり、テレワーク環境など新たに構築した環境をセキュリティが万全ではない状態で運用しているケースも見られます。ペンテストへのニーズはますます高まっていると思います。

また、最近はお客様の方がセキュリティ意識を持ち、知識も詳しくなってきました。我々も専門家として最新動向に目を向けながら技術力を高め、お客様の期待に応えられるように努めていきたいと思います。

知識だけでなく応用力、レポート力も求められるOSCP

fig-9949 マネージドセキュリティサービス事業本部 MDRサービス部シニアセキュリティコンサルタント　碓井晃樹

Q：NRIセキュアでペンテスト業務に携わるには、何らかの資格が必須なのでしょうか。

碓井：いえ、特にありません。しかし、NRIセキュアならではの指摘をお客様から期待されるこの部署にいるからこそ自主的に技術を研鑽し、資格取得に取り組むメンバーは多いと思います。

小林：実際にペンテストを提供する際も、何らかの有資格者とある程度経験を積んだメンバー、これから取り組むメンバーを組み合わせ、一定のサービスレベルを保つようにしています。

Q：皆さんはこれまでにどのような資格を取得してきたのでしょうか。

稲垣：

私は、やや昔の話になりますが、まずベースラインとしてCISSPとOSCP、OSEPを取得し、さらにお客様のSOCが適切に機能するかどうかを評価するためにSOCのマネージャーに求められる知識を問うGSOMを取得しました。他に、SANSの研修でSEC504およびSEC 760のChallenge Coinも取得しましたが、数で言えばもっと多くの資格を取得しているメンバーがいるという印象です。

碓井：自分は元々文系で、この会社に入社してから一からセキュリティを勉強し、資格を取得してきました。入社時からペンテストをやりたいという希望を持っていたのですが、先輩方から「こういう資格があるよ」「こういう勉強法があるよ」といった事柄を教えてもらい、その当時の業務とは直接関係ないものも含めて幅広く色々な資格を取得し、その上でOSCPやOSEPを取りました。

金子：私も似たような感じです。その時々で興味のある内容を学び、資格を取得していきましたが、元々ペンテストに興味を抱いていたこともあり、OSCPをはじめとする関連する資格をメインに取ってきました。

Q：皆さんをはじめOSCPを積極的に取得してる方は多いですね。さまざまなセキュリティ関連資格の中でもOSCPが必要だと考える理由は何ですか。

碓井：色々な資格試験を受けてみましたが、「頭の中に入れた知識をどう出すか」を問う試験が多い中、OSCPは実際に手を動かすところが特徴です。サーバに侵入できるか、侵入した後に横展開や権限昇格ができるかといった実際の攻撃スキルを試されます。自分も一通り知識を身につけたつもりでしたが、それが本当に役に立つのか、壁に当たった時にどう臨機応変に回避していくのかといった力が試されると考え、受験しました。

稲垣：

OSCPには二つポイントがあると思っています。一つは、碓井も触れた応用力です。何だかよくわからない課題をどう乗り越えていくか、その考え方を身につけられる資格試験だと捉えています。

もう一つは報告です。試験では結果をまとめ、最終的にレポートとして提出します。何をやったかだけでなく、その結果、お客様のどこがどう問題なのかをわかりやすくまとめなければいけません。実際のペンテストに携わる前にそういった部分も体験できるのは、とてもいいポイントだと考えています。

Q：応用力とレポートをまとめる力は、実際のペンテストでも必要になってきますよね。

稲垣：

そうですね。ペンテストでお客様に提出する最終成果が報告書です。わかりやすくまとめ、またお客様が次に何をされるべきかを提示することが求められますが、実際にはなかなかそうした経験を積む機会は少ないため、貴重な経験になると思います。

fig-9958 OffensiveCyberSecurity事業部シニアセキュリティコンサルタント　金子慧海

金子：試験形式そのものもユニークで面白さを感じました。24時間という制限時間の中で実際にマシンを攻略し、レポートまで書く形式だからこそ、「地力」がつくように感じます。テキストを覚え、示された選択肢の中から正解を選んでいく資格試験もありますが、OSCPの場合、一つの課題に対して何通りかのアプローチがあります。その中でどれを選び、どう進めていくかを考えることで地力が養え、経験値が得られると感じます。

Q：ということは、24時間ぶっ続けで試験に取り組むのでしょうか？

碓井：24時間だと頑張れば起きていられるので、ぶっ通してやってしまいますね（笑）。その一つ上のレベルの試験では48時間になるため、流石に途中で睡眠をとりますが。

Q：試験の前提として、ラボも含めた環境も用意されていますよね。

碓井：はい。OSCPでは、たとえテキストに書いてあることを全部覚えたとしても解けない、テキストに書いていないようなテクニックも普通に出題されます。ですので、よく知らないマシンに触れ、あらゆるパターンを考えて試していく能力が鍛えられます。しかも、それを試せるラボ環境がたくさん用意されているのがありがたい点で、一通り試すことによって地力がつき、実際の業務にも役立っていくように思います。

稲垣：

GIACでも、トレーニングの最後に用意されているCTFは非常に素晴らしいコンテンツです。OSCPはそういったハンズオンがたくさん用意されている、という感じです。

金子：他にも、ラボ環境が提供される資格試験はありますが、テスト用に割と取り組みやすい環境が用意されています。これに対しOSCPのラボは不親切というか、現実に即しているように思います。「あとは自分たちでやりなさい」と谷に落とされるような感じです。その状態で試行錯誤することで、テキストに書かれていないことも学べたり、攻撃コード（Exploit）が刺さらないときにその原因を切り分ける方法なども学べたと思います。OffSecの「Try Harder」（もっと頑張れ）というマインドを体現したものだと思います。

費用、時間、そして社内勉強会を通して技術レベル向上をバックアップ

fig-9894

Q：こうした学びに取り組む社員に対し、会社として何か支援はあるのでしょうか。

碓井：NRIセキュアでは数年前から、OSCPなどOffSec関連の資格はもちろん、他の資格についても受講希望者を募る「資格取得キャンペーン」を始めています。まず全体に周知し、資格にチャレンジしようという人を増やしていこうという流れがあります。また、週次で勉強会が開催されており、攻撃テクニックなどを共有しています。

稲垣：

「ペネトレーションテストというのはお客様のシステムを試すのか、それともテスターの腕を試すのか」というジョークがありますが、お客様に一定の品質のサービスを提供するためにも、部署を挙げて皆で資格を取得しようと取り組みました。過去2年で30名以上のメンバーがOSCPの資格取得奨励活動に参加しています。一年を通して、他にもさまざまな試験を受けているため、時々チャットに「誰々が何に通ったぞ」といった情報が流れてきて、身が引き締まることもありますね。

金子：実は、自分がインストラクターを担当していた新卒の子が一気に受かってしまって、プレッシャーをかけられたこともありました。

Q：資格取得の費用や学習のための時間はどのように確保しているのでしょう。

碓井：セキュリティの資格に関しては高額なものが多いですが、NRIセキュアでは資格取得にかかる費用や維持費用を会社が負担する制度があります。資格や内容によって異なりますが、OSCPでは合格してもしなくても費用を出してもらえるありがたい形なので、費用面でのハードルは低いと思います。

fig-9924

稲垣：

時間についても、会社として、一人当たり年間168時間を研修や自己研鑽などの能力開発に充てるように目標を定めています。確かに繁忙期は大変ですが、閑散期にまとめて一気に学習するなど、工夫しながら勉強をしています。

Q：学習のコツは何かありますか？

碓井：まずラボで試して、壁にぶち当たったらネットで色々な攻撃テクニックを調べ、取捨選択しながら刺さるものを試し、使えるようにしていくことの繰り返しで、自分の血肉になっていくと思います。

Q：近道はないんですね。

碓井：そうですね。技術のサイクルが早く、書籍に載っているテクニックの中には時代遅れになったものもあります。最新の情報にキャッチアップするためにも、その都度調べる力が必要だと思っています。

自分はセキュリティのことを何も知らない段階から学習を始めました。まず広くITに関して学ぶことが大事だと考え、基本情報や応用情報、安全確保支援士、SANSのGIACという具合にベースを固めつつ、「自分は何をしたいのか」を自分に問いながら、興味のある範囲を伸ばし、ペンテストのスキルを身につけてきました。今はさらにSOC関連のことを学び、新しいことができないかを考えていますが、やはりベースがあると幅を広げやすいと思います。

金子：興味がなければ勉強は続きません。まず自分が興味を持てるところを見つけるのが大事だと思います。その上で、OffSecのラボ環境やHack the Boxなど、実際に攻撃を試せるサービスを活用し実践経験を積んでいくことで、仕入れた知識を、使いこなせる武器に変換していくことができると思います。

稲垣：

ハンズオンか座学のどちらかではなく、双方をバランスよくやっていくことが大事だと思います。座学を通じてベースとなる考え方を学んだ上で、それを実際に「どうやるか」を身につけていくことで、世界に通用するセキュリティ専門家になれるのではないでしょうか。

fig-9914 オフェンシブセキュリティ事業本部 OffensiveCyberSecurity事業部部長　小林雅人

小林：最近は、セキュリティの仕事をやりたいと考え、入社前にすでにOSCPを取得している方もいます。マネージャーの立場としては、そのモチベーションを保ち、さらに高めることに留意しています。取りたい資格や受けたい研修があれば極力奨励していく会社の風土もあって、お互いにいい関係が作れているように思います。

資格取得を通して身につけた知識とスキル、マインドセットを活用

Q：ペンテストに関して一定のスキルを証明する資格を得た上で、この先、どのようなことに取り組んでいきたいですか？

碓井：

OSCPの取得を通して、ペンテストを実施するに当たってのベースラインを得られたと感じているので、そこからさらに専門家として能力を尖らせていきたいと考えています。

また知識もそうですが、知らない環境に対していろんな角度で攻撃を仕掛けて倒し切る根性や試行錯誤する能力が、今回の試験を通して一番身についたものだと思っています。現実のペネトレーションテスト案件でも、知らないエラーが出てきて「これは何だろう」と悩む場面に多々ぶつかりますが、そういった時も諦めずに考えを巡らせてお客様の課題を炙り出し、ご報告できるようになっていると思います。

fig-9962

金子：同感です。OSCPを通してペンテストの基本となる技術的スキルを身につけられましたし、問題に対する取り組み方も学べました。一見「何もできないんじゃないか」と感じる環境でも、何かできないかを気合いで見つけていく、という姿勢が身についたと思います。

Q：企業のセキュリティ意識も高まり、ある程度の対策も実施されるようになってきました。単純な診断から、より深く問題を探るペンテストに対するニーズは高まっていますよね。

稲垣：

お客様の防御体制がある程度整い、監視するチームの成熟度も高まってきた今だからこそ、「本当に攻撃を受けたらどうなのか」を確認したいということで、ペンテスト、さらにはレッドチーミングの需要が高まっていると思います。

Q：普段の業務の中でどんな強みが生み出せるでしょうか。

碓井：

問題を見つけ出した後、次にどういったアクションを取るべきかをお客様を交えてディスカッションしていく部分は、OSCPの範囲をこえ、案件ベースでノウハウを蓄積していく部分だと思います。同じ課題でも、最適な対策はお客様によって異なってきますから、そうしたところをわかりやすくまとめ、お伝えしていければと思います。

小林：NRIセキュアの強みは、お客様の経営層に、技術的に深いレベルの話をわかりやすく伝え、訴求できることです。OSCP取得をはじめ、ペンテストを行えるメンバーを育成しながら、そうした強みを活かしつつ事業を拡大していきたいと思います。また碓井のように、攻撃側の視点と防御側の視点、両方を取り入れることで、ペンテスト周辺で新しいサービスを作っていくことにもチャレンジしていければと思います。また、お客様のCSIRTを強力に支援できるようなコンサルティング能力も伸ばしていければと思います。

＜関連サービス＞

OSCPトレーニング　～NRIセキュア講師による日本語での講義～

OSCP合格のリアル｜単なる資格取得ではない「スキル」と「根性」を鍛えるプロセス