ペンテスター

セキュリティエンジニアになるためのメディア | ガドマガ » セキュリティエンジニアになったその先は? セキュリティエンジニアのキャリアパス » ペンテスター
CONTENTS

幅広い知識を持ち、システムのさまざまな工程に携わるセキュリティエンジニア。ここでは、セキュリティエンジニアとしてどの領域に強くなっていきたいのか、また、どんな専門領域があるのか知っておきたい皆さん向けに、セキュリティエンジニアのキャリアパスの一つ、ペンテスターの仕事内容についてご紹介します。

ペンテスターとは

組織やシステムに対して疑似的に攻撃を行い、セキュリティ上の弱点を見つけ出す専門家が「ペンテスター」です。「ペネトレーションテスター」とも呼ばれています。ペンテスターは疑似的に攻撃を行うことによってシステムの脆弱性を見つけるのが特徴です。システムにアクセスするための脆弱性を、悪意のある攻撃者目線で見つけます。その脆弱性が実際にシステムを脅かされる原因になるかどうかも判断し、顧客に報告するまでが仕事です。顧客側である企業にとってはシステムの修正が必要か否かを判断する材料になります。

ペンテスターが行うテスト手法のことをペネトレーションテストと言います。ペンテストあるいは疑似ハッキング、侵入実験、侵入テストという呼び方をすることもあります。テスト方式は大きく分けて2種類。システムのネットワーク構成や監視方法などをヒアリングしてから行うホワイトボックステストとシステムの内部構造を考慮しない攻撃方法であるブラックボックステストです。攻撃者が外部か内部かなど顧客の希望によって、テストのシナリオは変わります。

ペンテスターの年収

ペンテスターの求人情報をチェックすると、年収600万円~1200万円(※1)の求人が多いようです。中には2000万円の求人もありました。一般的なセキュリティエンジニアの平均年収が約556万円(※2)のため、年収の水準は高いと言えるでしょう。ペネトレーションテストは専門性が高く高度な業務であることから、大企業の依頼が多いです。年収に幅はあるものの、高収入が見込める職種といえます。

(※1)参照元:求人ボックス(https://求人ボックス.com/ペネトレーションテスト-セキュリティの仕事)2024年7月14日調査時点

(※2)参照元:求人ボックス(https://求人ボックス.com/セキュリティエンジニアの年収・時給)2024年7月14日調査時点

ペンテスターの仕事内容

ペンテスターの仕事内容は、ペネトレーションテストを実施して、セキュリティ評価を顧客に報告することです。セキュリティ評価は、攻撃者目線で行い、セキュリティの課題・改善方法を見つけます。

ペネトレーションテストは、計画策定からスタートします。評価対象範囲や評価スケジュール、評価形式、攻撃シナリオ、制限事項などをヒアリングした上で、要望に合うテストを計画しなければいけません。

計画に沿って、情報収集から脆弱性スキャンの実施、攻撃の実施、横展開・権限昇格と進めていきます。最終的に侵入したシステムやネットワークで攻撃者の目標を達成し、この過程で分かった課題を取りまとめます。

その後、報告書をまとめ、ペンテスターの仕事は完了です。脆弱性の説明はもちろん、脆弱性に対する深刻度や改善案まで報告します。

ペンテスターになるには

ペンテスターになるためには、セキュリティ領域の実務経験を通して、ペンテスターに求められる必須スキルを習得する必要があります。資格については、必ずしも必要なものはありませんが、セキュリティの専門職になるため、まずはセキュリティの基礎固めから始める必要があります。

ペンテスターに必要なスキルセット

ペンテスターに必要とされているスキルは、コンピューターサイエンスやセキュリティの基礎スキル、サイバー攻撃スキル、論理的思考力です。

特にコンピューターサイエンスの基本的な知識は重要になります。ツールしか使えない初心者と応用力のある優秀なハッカーの違いがここにあります。オペレーティングシステム、ネットワーキング、データベース、プログラミング言語などの知識が必要です。

また、セキュリティの基本的な原則や概念の理解もしておきましょう。顧客に説明するためにも必要なスキルです。その他、脆弱性やセキュリティ基礎技術、セキュリティ製品の仕組みといった知識を習得しておく必要があります。ちなみに、サイバー攻撃の手法や攻撃ツールの知識も、実務に直結する重要スキルです。

ペンテスターはテスト結果を攻撃技術に詳しくない担当者や経営者層に報告しなければいけません。そのため、このような幅広い知識に加え、物事を体系的に整理した上で相手の理解に合わせた説明ができるような、論理的思考力が求められます。

ペンテスターに必要な資格

前述した通り、ペンテスターに必須の資格はありません。セキュリティに関しては、国内団体が主催する資格として、IPA(独立行政法人情報処理推進機構)が主催する情報処理安全確保支援士試験があります。

ペンテスターに特化した資格については、国内団体が主催するものはなく、海外発信の有名な資格でCEH(Certified Ethical Hacker)があります。CHEはアメリカの資格で3年ごとに更新が必要です。同じくアメリカの資格として、GIAC(Global Information AssuranceCertification)やOSCP(Offensive Security Certified Professional)があります。2024年7月調査時点で、価格が安いのはOSCP、知名度が高いのはCEHだという情報もありました。

次に未経験からペンテスターへ転職するためのポイントをご紹介します。

未経験からペンテスターへ
転職するには?

ガドマガ編集チーム画像
ガドマガ編集チームより
選ぶ業界によって積める経験や
転職難易度は変わる

ペンテスターを含むセキュリティ領域のエンジニアを未経験から目指す場合、まず注目したいのは「どの業界でスタートするのか」。業界によって積める経験値や転職難易度が大きく変わる領域でもあるからです。

次によくある3つのセキュリティ業界を比較した調査結果を紹介していますので、転職活動の一助になれば幸いです。

未経験者におすすめなのは?
セキュリティ業界調査を見る
このページを調査したのは…
Zenken株式会社「ガドマガ」編集チーム

新たな職業の選択肢を!をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。 このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。

運営会社情報
あわせて読みたい!関連記事