今更ですが当時参加したことを思い出しながら投稿します
Web脆弱性診断からペンテスターへ:キャリアチェンジのリアルと学び
GMOサイバーセキュリティ byイエラエで働く井上大誠(@1am_nek0)さんが語った、Web脆弱性診断員からペネトレーションテスター(以下、PT)へのキャリアチェンジ体験談がとても実践的だったので、参加レポートとしてまとめます
🔁 キャリアチェンジのきっかけ
新卒でWebセキュリティの診断業務に就き、2年ほど経験した井上さん
やりがいは感じつつも、こう思うようになったそうです:
「ブラックボックス診断もホワイトボックス診断も、別に“仕事じゃなくても”できるんじゃないか?」
ちょうどその頃、社内の部署異動制度が新設されたことをきっかけに、ペネトレーションテスト部門への異動を決意
異動が決まってからは、
- CRTO
- OSEP
- OSED
といった資格・演習でスキルを磨き、準備を進めたそうです(※上司曰く「やる気があればOK」とのことだったとか)
🛠️ ペネトレーションテスターとしての日々
1. 外部PT:攻撃者としての視点での侵入調査
目的:インターネット経由で社内システムに侵入できるかを検証する
アプローチ
-
Passive Recon
- サブドメイン列挙、Google Dorking、ASNマッピングなど
-
Active Recon
- ポートスキャン、ディレクトリ探索など
-
Vulnerability Identification
- 認証突破、SSRF、自サインアップのような「比較的見つけやすい脆弱性」もあれば、インジェクション系のような「見つけにくい脆弱性」も
OSSベースのシステムは、既知の脆弱性が埋まっている“宝の山”
ブラックボックスではなく、ソースコードが手に入ることで難易度が変わる点が面白いポイントでした
2. 内部PT:マルウェア感染後の被害拡大を想定した演習
目的:社員が感染した場合、ドメイン支配や情報流出が可能か調査
- ゴール:ドメイン管理者権限の奪取、サプライチェーンリスクの評価
- 環境:Active Directory を含む社内ネットワーク
学びと葛藤
- 本番環境では一つひとつの操作が命取りになるため、慎重になりすぎて手が動かないことも
- 「分かっているはずの攻撃手法」が、環境依存で思わぬ事故につながる怖さ
- ベテランの先輩でも「知らないことはちゃんと調べる」姿勢が印象的だったそうです
この経験から、検証環境の自作やログ観察・ツール解析の重要性に目覚めたとのこと
ツールを“使うだけ”では得られない、本質理解が深まったそうです
🔄 Web診断とPT業務の違い
| 項目 | Web脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| PDCAサイクル | 短くて回転が早い | 長くて抽象的なテーマが多い |
| 分析対象 | 決まった画面やAPI | 見えてないものを想像して検証する |
| 工夫の余地 | やや限定的 | 検証環境や再現アプローチなど無限にある |
PT業務では「見えないものをどう仮定し、どう突破口を見出すか」が鍵
その分、「Plan → Do」のハードルが格段に高くなると語っていました
🎓 まとめ:キャリアチェンジを考えている方へ
井上さんの話から学べることは以下の通りです:
- ペンテストは一見派手に見えて、実は地味で繊細な仕事
- わからないことに素直になり、ちゃんと試す・調べる・記録する姿勢が大事
- 自分の手で環境を作って試すことで、“わかった気”から“本当にわかる”へ
そして何より、
「やる気があるなら、やれる。やりながら学べる」
というリアルなメッセージが響きました
✍️ あとがき
PTの世界は興味がありつつ「別の世界」と思っていた部分がありました
今回の話を聞いて、その境界線は思ったよりも低く、乗り越えるための道もちゃんとあることに気づかされました