導入(取り組み背景)
Cisco が運営するオンライン学習コースを眺めていたときに興味深いコースを見つけたため、取り組んだ内容を数回の記事に分けて紹介します。
私自身はネットワーク系の開発業務に従事しており、セキュリティの専門家とまでは言えませんが、本コンテンツを通じて得た理解や気づきを読者の皆様に共有したく、本記事を作成しました。解説は私なりの解釈を含みますので、学習コース等と合わせて参照してください。
対象読者
-
ペネトレーションテスト(ペンテスト)のテクニカルスキルに興味があるエンジニア/学生
- 実務目線での基礎(ワークフレーム)を学びたい方
この記事で得られること
- ペネトレーションテストの基本概念(誰が・何のために行うか)
- 代表的な標準化団体・リソース(OSSTMM、PTES、OWASP、MITRE)についての入口
- 学習を始めるための環境(Kali VM)と最初に触るコマンド例
学習先(リンク)
Cisco NetAcad — Ethical Hacker
コース全体のサマリ(全10章)
- 倫理的ハッキングと侵入テスト入門 👈本記事
- 侵入テスト評価の計画とスコープ策定 👈本記事
- 情報収集と脆弱性スキャン
- ソーシャルエンジニアリング攻撃
- 有線および無線ネットワークの活用
- アプリケーションベースの脆弱性を悪用する
- クラウド、モバイル、IoT セキュリティ
- エクスプロイト後のテクニックの実行
- 報告とコミュニケーション
- ツールとコード分析
⚠️ 注意(必読)
本コースで学ぶ技術は、悪用すると法的問題や社会的被害を生む可能性があります。学習・実験は必ず許可された環境(サンドボックス化された学習 VM など)で行ってください。無許可のハッキングは違法です。
1章. ペネトレーションテストの概要と導入
読むべき人:ペンテストとは何かを全体像として押さえたい入門者。
1章では「ハッカーとは何か」「ハッカーの種別」「基礎用語」「主な標準とガイドラインの紹介」、および以降の実習に向けた環境準備を扱います。テクニカルな作業を行いたい方は、環境準備以外の説明は流し読みで問題ありません。
1.1 倫理的ハッカーと非倫理的ハッカー
ハッカーは目的や行動規範によって分類できます。代表的な目的は次の通りです。
- 金銭目的:攻撃者が金銭的利益を狙うケース。
- 名声目的:技術的名声や実績を得るための行動。
- 政治/国家目的:国家間のサイバー活動。
- 内部脅威:従業員による情報窃取など。
**倫理的ハッカー(ホワイトハット)**は、許可を得て脆弱性を検査し改善提案を行います。一方、無許可での侵入は違法行為です。
用語:ブラックボックス/ホワイトボックス/グレイボックス
- ブラックボックス:対象についてほとんど情報が与えられない状態。
- ホワイトボックス:設計書やソースなど詳細が与えられる状態。
- グレイボックス:部分的に情報が与えられる状態。
1.2 主な標準・ガイドライン
ペネトレーションテストには複数の公的・コミュニティのガイドがあります。学習や実務で参照することをおすすめします。
-
OSSTMM(Open Source Security Testing Methodology Manual)
- セキュリティ評価のための方法論。
- ISECOM / OSSTMM
-
PTES(Penetration Testing Execution Standard)
- ペンテスト実施のプロセスガイド。
- PTES 公式サイト
-
OWASP WSTG(Web Security Testing Guide)
- Web アプリに特化したテストガイド。
- OWASP WSTG プロジェクトページ
-
MITRE ATT&CK
- 攻撃者の戦術・手法・手順(TTP)を整理したナレッジベース。
- MITRE ATT&CK
まずは各公式ドキュメントの目次を眺め、用語と全体像をつかむことを推奨します。
1.3 学習環境と最初の一歩
読むべき人:学習環境をこれから用意する人、最初のコマンドを知りたい人。
- 学習用の VM(Kali Linux)を用意して、実際にツールに触れてみることを推奨します。
- 本教材では 構築済みの Kali Linux VM をデプロイして学習を進めます。
- 最初に確認するコマンド例(Kali):
# ネットワーク確認
ip a
# 簡単なポートスキャン(ターゲットは必ず許可済みの環境で実行)
nmap -sS -Pn 192.168.56.101
実際の環境に対しては必ず事前に許可を得てください。無許可アクセスは違法です。
1.4 まとめ(1章)
- ペネトレーションテストは目的や与えられる情報量に応じて手法が変わる(ブラック/グレー/ホワイト)。
- OSSTMM、PTES、OWASP、MITRE は学習に有用なリソース。まずは公式ドキュメントの目次に目を通すのがおすすめ。
- 実習は Kali VM を使い、最初のコマンドで環境に慣れましょう。
2章. ペネトレーションテストの計画とスコープ設定
読むべき人:実務でペンテストを企画・発注・実施する可能性がある技術者やマネージャ。
2章では法令・規制、契約上の注意点、スコープ策定で押さえるべき項目、倫理規範といった実務上重要な要素を扱います。テクニカルな実践を行いたい方は流し読みで構いませんが、スコープ設計はリスク管理の要なので目を通しておくことを推奨します。
2.1 規制・業界ごとの注意点
ペンテスト実施時は対象業界の法令・規則に注意が必要です。例:
- 金融(クレジットカード含む):PCI-DSS 等の基準があり、個人金融データの取り扱いに注意。
- 医療:患者情報(PHI)を含むため個人情報保護法や医療法に注意。
- クラウド事業者:責任共有モデル(責任分界点)を理解すること。SaaS/PaaS/IaaS でスコープが変わる。
技術的配慮点:データ分離、パスワード管理、暗号鍵の運用(KMS 等)。
2.2 地域規制・契約関係
読むべき人:海外との境界をまたぐシステムや、複数ベンダが絡む環境でテストする人。
- 国や地域によって届出や許可が必要な場合があります。特に国境をまたぐテストは注意が必要です。
- NDA(機密保持契約)や免責事項、SLA(サービス品質保証)等は必須項目です。契約内容により実施範囲が変わります。
2.3 スコープ決定時に確認すべき具体項目(チェックリスト)
- 対象の IP アドレス/ホスト名のリスト
- 許可される攻撃手法(DoS テストの可否など)
- テスト実施の時間帯(業務影響を避けるため)
- 監視・連絡ルート(想定外の障害発生時の連絡先)
- レポート形式・納期
- 成果物の保存と破棄ルール(ログや取得データ)
2.4 実践ワークの例
- 求人調査ワーク:セキュリティ関連求人を参照し、企業が求めるスキルセットから学習ゴールを逆算する。
- トポロジーワーク:ネットワークトポロジー図やアドレス一覧、アカウント情報を基にスコープを判断する演習。
2.5 倫理規範の自己定義
学習用ワークとして「自分の倫理規範」を文章化する演習があります。内容は簡潔にまとめると以下の通りです。
- 「許可がある場合のみ実験する」
- 「テストで得た情報は第三者に公開しない」
- 「インシデント発生時は即時報告する」
実務ではこれらを契約書レベルで担保します。
2.6 まとめ(2章)
- スコープ設定はリスク管理そのもの。業界ルールと契約条項を必ず確認してください。
- 実務的にはチェックリストをテンプレ化してプロジェクト開始時に使うと安全です。
次回以降は「実際の情報収集・スキャニング・脆弱性確認」について、ハンズオンを交えてより具体的に解説していきます。