【現役ハッカーが教える】ホワイトハッカーになる方法とは??必要な能力や資格・勉強方法は?

これまで、ハッカーとは何者なのか、どんな種類があるのか、仕事としてどのような業務を日々行っているのかなどを自分の経験を含めてお話させていただきました。

やはり、「ホワイトハッカー」という職業はまだそこまで認知されていなと思っています。最近になりようやくIT業界でお話に出てくるようになっています。

ハッカーという言葉だけが一人歩きして実際にどのようになるのか知っている方は少ないと思います。

そこで、今回はどのようの実際に現役のホワイトハッカーである私が「ホワイトハッカー」になるにはどうすればよいかお話していきたいと思います。

ざっくりハッカーってどんな人??現役ハッカーが簡単に語ります。

【現役ハッカーが教える】ホワイトハッカーの仕事の内容とは?? 

※当ブログは、アフィリエイトプログラムに参加して商品を紹介しております。当ページのリンクを介して商品を購入すると著者に収益が発生することがあります。

ホワイトハッカーになる方法

現役のホワイトハッカーである私が教えます。ホワイトハッカーになる方法はありません!?

と言うより、医者や弁護士などの様に「こうすれば必ずなれます。」というものがありません。専門の大学やスクールに行けば多少なりやすいかもしれませんが、必ずなれるわけではありません。

以前、お話しているように「ハッカー」とは”優れたプログラマーに対する呼び名”でしかありません。そして、「ホワイトハッカー」は悪意を持ったハッカーにから企業・組織を守る善意のプログラマーであるに過ぎません。

「ホワイトハッカー」になる近道はひたすらプログラミングやシステム、ハードウェアに対する勉強を行う事です。

そして、犯罪にならないように(自分の端末や仮想ネットワーク、許可された環境など)に対して侵入・情報の改ざんなどを行い「クラッカー」「ブラックハッカー」たちの手口や心理戦を学ぶという事も必要かもしれません。

※犯罪になることは絶対にしてはいけません。

今日からホワイトハッカーを目指すあなたへ サイバーセキュリティ時代に淘汰されない為の入門書

ホワイトハッキング入門 初心者からプロへの道 実践演習付き 完全ガイド

職業としての「ホワイトハッカー」

必ずホワイトハッカーになれる方法はないと上記にてお話しました。しかし、職業としてホワイトハッカーになる方法はあります。

どのような企業・組織に入ればホワイトハッカーを職業にできるのかをご紹介したいと思います。

警察庁・都道府県警察のサイバーポリス

サイバーポリスエージェンシー
サイバーポリスエージェンシー

日々、多くの犯罪と戦っている警察の方々ですが警察の中にもサイバー犯罪に対して捜査を行っています。

そして、サイバー犯罪は年々増えているため専門のサイバー人材の登用する動きが加速しています。(すべての都道府県でサイバー人材の採用を行っているわけではありません。)

警察庁であれば国家公務員になりますので国家公務員試験(技術系)の総合職もしくは一般職を受ける必要があります。

警察庁(総合職技術系)採用情報サイトの情報通信局

警察庁採用情報一般職技術系情報通信職員の情報技術解析課

国家公務員採用試験を必要としますのでなかなかに難易度は高めです。

次に都道府県警察であれば各地方の警察官採用試験を受ける必要があります。各警察の採用情報から情報システム専門官やサイバー犯罪捜査官などの募集を確認してみてください。

サイバー人材採用情報

警察官採用試験は国家公務員試験に比べれば簡単です。しかし、勉強せずに受かるわけではありません。

自衛隊指揮通信システム隊 サイバー防衛隊

防衛省及び自衛隊では自組織に対するサイバー攻撃に対応するために指揮通信システム隊と呼ばれる組織が存在しています。

また、それらと共同して陸上自衛隊ではサイバー防護隊、海上自衛隊では保全監査隊、航空自衛隊ではシステム監査隊と呼ばれる部隊が存在しています。

主な職務としては防衛技官としてサイバーセキュリティ技術に関する知見を活用し、サイバー攻撃等の脅威から情報システム等の防護、サイバーセキュリティに関する人材育成、隊員の能力向上等に係る業務を行うこととされています

自衛隊のサイバー攻撃への対応について

セキュリティベンダーへの就職

セキュリティベンダーでは業務の一環としてペネトレーションテストや脆弱性診断を行っています。そのためホワイトハッカーとして培った能力を発揮ことができるでしょう。

また、マルウェアの分析や攻撃手法の解析、フォレンジック調査の行っているためセキュリティベンダーに就職することでホワイトハッカーとして働くことができるでしょう。

フリーランスのホワイトハッカー

どこかに在籍していないとホワイトハッカーとして働けないわけではありません。ほかのプログラムー、エンジニアの方と同じようにフリーランスとして仕事を行う事ができます。

しかし、自ら仕事を探すことが必要になるため容易ではありません。それなりの実力や幅広い人脈が必要になります。

日本であれば日本ハッカー協会が存在していますの登録することで職業紹介などを行っています

一般社団法人日本ハッカー協会

ホワイトハッカーに役立つ資格は?

前述している通りホワイトハッカーになるために必須の資格はありません。実力があれば問題ありません。しかし、やはり何かしらの資格を持っていれば実力の一定の証明を行うことができるため色々と優位に働くこともあるでしょう。

そこで、持っていて損にはならない資格をご紹介します。

情報処理安全確保支援士

情報処理安全確保支援士とは2017年の4月に新設された情報セキュリティに関する国家資格です。情報処理分野の資格で初の「士業」となります。

経済産業省が認定しておりIPA(独立行政法人情報処理推進機構)が実施しています。

IPAが掲載している対象者像は

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

となっています。

求められる水準としてはITSSレベル4となっており国家資格としては最高峰の試験になっており、情報セキュリティの資格としては日本で最難関であり、実務経験者でも合格することが難しいとされています。合格率は15%前後です。

試験は年2回行われており高度情報試験としては受けやすい試験になっております。

この資格は更新制になっており1年に1回の共通講習・3年に1回の実践講習を受講していかなければいけません。

また、この資格を取得して、所定の登録手続きを行う事で「登録セキュリティスペシャリスト」になることが出来ます。

登録することで登録証が交付され、「情報処理安全確保支援士」の名称・ロゴマークを使用することが出来るようになります。(未登録の方が名称・ロゴマークを使用した場合「情報処理の促進に関する法律」第61条により罰則対象になります。)

独立行政法人情報処理推進機構 国家資格「情報処理安全確保支援士」

情報処理教科書 情報処理安全確保支援士 2024年版

うかる! 情報処理安全確保支援士 午後問題集[第2版] (日本経済新聞出版)

ゼロからスタート! 教育系YouTuberまさるの情報処理安全確保支援士1冊目の教科書 

CISSP

CISSP(Certified Information Systems Security Professional)とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。

セキュリティ専門家としてのスキルの裏付けを提供します。CISOやシステム監査人、上級コンサルタントを目指すなら取得が推奨される資格です。

情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、現在、世界で69,000名以上が認定資格を保持しています。

試験形式はCBT形式となっており、日本国内では、東京・大阪の2会場でのみ受験することが可能になっています。

試験形式は250問(日本語・英語併記)の四者択一であり試験時間は6時間となっています。合格基準は1000点満点中700点以上とかなり難易度は高めになっています。受験料は746米ドルとかなり高いため何度も受験するのは難しいでしょう。

また、このCISSP資格はアメリカの非営利団体が認定を行っているため、基本的にアメリカの情報セキュリティの知識がベースとして作成されています。そして、圧倒的に範囲が広いことや経営者目線(会社や社会・従業員にとっての最善解)を求められます。日本語の教材も数が限られているため勉強を行うのも難しい試験となっています。

これらの要因から日本でのCISSP取得者は2021年10月現在3164人となっており、この資格を持っているだけで日本では注目されるのではないでしょうか。

CISSP試験概要

新版 CISSP CBK 公式ガイド

CISSP公式問題集

認定ホワイトハッカー

認定ホワイトハッカーはアメリカのEC-Council(電子商取引コンサルタント国際評議会)が認定して資格になっています。「ハッカーに対抗するには攻撃者目線に立って対策を考える必要がある」というコンセプトのうえ座学だけでなく実際に攻撃ツールを使用してトレーニングを行うのが特徴の資格になっています。

そして、守り専門の資格とされており、より強固なサイバーセキュリティの構築を目指すという資格になっています。

アメリカ国防総省では情報システムにアクセスするスタッフはこの資格が必須となっており、アメリカでは絶大な信頼を持っています。

出題形式はCBT方式となっています。問題数は125問で試験は時間は4時間です。合格基準は70%以上となっています。

また、受験要件として2年以上の情報セキュリティ経験がある場合公式トレーニングを受けずに受験できますが、それ以外の場合は公式トレーニングを修了しなければ受験することはできません。受験資格の認定には審査料が必要です。自分の実務経験が受験資格を満たしていないと判断された場合審査料は没収されてしまいます。

 

日本でも経済産業省が発行している情報セキュリティサービス基準で「脆弱性診断サービスの提供に必要な専門性を満たす資格」としてCEHが挙げられており、国内での認知度もこれから上がっていくと思います。

EC-Council公式ページ

ホワイトハッカーに必要な能力と勉強方法

これまでホワイトハッカーとしての職業・資格についてお話してきました。最後に現役ハッカーである私が感じているホワイトハッカーとして必要な能力と勉強方法について簡単にお話したいと思います。

ホワイトハッカーに必要な能力

ハッカーに必要な能力として私が感じているのは「人の考えを読む力」です。(様々なプログラミング言語の習得・ハードウェアへの理解は当たり前です。)

なぜこの能力が必要かというとシステムや攻撃者すべてに人が介在しているからです。

システムの作り手がどのような意図・意思でシステムを構築した・しているのか。攻撃者がどのような情報を欲しているのか、利用者がどのように利用するのかなどを考え、理解することで見えてくることがあります。

100%守ることが出来る完ぺきなシステムが無いのはそこに人の意思が存在するためであり、それを理解する事が出来ればホワイトハッカーとして強みになると思います。

ハッカーになるための勉強方法① Kali Linux

Kali Linux(カーリーリナックス)とは2011年にアメリカのセキュリティ会社が情報セキュリティ向けに開発したLinux(OSのこと)になります。

このOSには標準でペネトレーションテストを行う際に使用するツールなど多くのセキュリティに関するツールが実装されおり、実際の現場でも使用されておりペネトレーションテスト、セキュリティ調査、コンピュータフォレンジック、リバースエンジニアリングなどほとんどすべてのセキュリティに関する業務を行うことができます。

また自分のパソコンの仮想環境にインストールして使用することでホワイトハッカーとして必要な技術の練習を行うことができます。(外部の環境に対しておこうと犯罪行為に当たる場合があります。くれぐれも仮想環境内で使用してください。)

このKail Linuxは無料で利用することができますが、最初のインストールでは基本英語になるため日本語化などの処置が必要になります。実装されているツールの詳細や利用の仕方などは今後細かくお話しできればと思います。

Kali Liunx公式ページ

Kali Linux 実装ツール一覧

Kali Linuxが学べるおすすめ書籍

Kali LinuxビギナーズガイドⅠ: インストールとテストラボのセットアップ

Kali LinuxビギナーズガイドⅡ: ツールの使い方 1

Kali LinuxビギナーズガイドⅢ: ツールの使い方 2

サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト

ハッカーになるための勉強方法② Hack the box

Hack the Box ダッシュボード画面
Hack the Boxのダッシュボード画面

Hack the Boxとは2017年6月に設立されたサイバーセキュリティトレーニングのオンラインプラットフォームになります。多くのソーシャル要素とゲーム要素を持ち合わせており楽しくハッキング技術を向上させることが出来るプラットフォームになっています。

実際にプラットフォーム内に用意されているマシンに対して様々な技術を用いてハッキングを行っていきスキルを磨いていきます。

攻略したマシンの数や課題提出によってそれぞれポイントが与えられ、そのポイントの保有数によって7つのランクに分けられます。また、毎日国別ランキングも発表されています。

Hack the Box

まとめ

今回はホワイトハッカーになるためにどうすればいいかをお話してきました。

結論、確かな技術と善意の心を持っていれば誰でもホワイトハッカーになれます。

しかし、確かな技術は一朝一夕で身につくものではありません。資格の勉強や実際に手を動かして身につけなければいけません。そして、情報セキュリティ・サイバーセキュリティの世界は常に進化しています。昨日の新常識が過去の物になるなんてことは当たり前の世界です。常に最新にアップデートできる環境・意識を持たなければいけない世界です。

大変な世界ですが楽しさや達成感に満ち溢れています。これからさらに情報セキュリティ人材は必要とされていくので、多くの方に興味を持っていただければ幸いです。