HPでセキュリティエンジニアの
未経験採用をCHECK
HPでセキュリティエンジニアの
未経験採用をCHECK

ペンテスター

本サイトは、株式会社アウトソーシングテクノロジーをスポンサーとして、Zenken株式会社が運営しています。

セキュリティエンジニアになるためのメディア | ガドマガ » セキュリティエンジニアになったその先は? セキュリティエンジニアのキャリアパス » ペンテスター
CONTENTS

幅広い知識を持ち、システムのさまざまな工程に携わるセキュリティエンジニア。ここでは、セキュリティエンジニアとしてどの領域に強くなっていきたいのか、また、どんな専門領域があるのか知っておきたい皆さん向けに、セキュリティエンジニアのキャリアパスの一つ、ペンテスターの仕事内容についてご紹介します。

ペンテスターとは

組織やシステムに対して疑似的に攻撃を行い、セキュリティ上の弱点を見つけ出す専門家が「ペンテスター」です。「ペネトレーションテスター」とも呼ばれています。ペンテスターは疑似的に攻撃を行うことによってシステムの脆弱性を見つけるのが特徴です。システムにアクセスするための脆弱性を、悪意のある攻撃者目線で見つけます。その脆弱性が実際にシステムを脅かされる原因になるかどうかも判断し、顧客に報告するまでが仕事です。顧客側である企業にとってはシステムの修正が必要か否かを判断する材料になります。

ペンテスターが行うテスト手法のことをペネトレーションテストと言います。ペンテストあるいは疑似ハッキング、侵入実験、侵入テストという呼び方をすることもあります。テスト方式は大きく分けて2種類。システムのネットワーク構成や監視方法などをヒアリングしてから行うホワイトボックステストとシステムの内部構造を考慮しない攻撃方法であるブラックボックステストです。攻撃者が外部か内部かなど顧客の希望によって、テストのシナリオは変わります。

ペンテスターの年収

ペンテスターの求人情報をチェックすると、年収600万円~1200万円(※1)の求人が多いようです。中には2000万円の求人もありました。一般的なセキュリティエンジニアの平均年収が約556万円(※2)のため、年収の水準は高いと言えるでしょう。ペネトレーションテストは専門性が高く高度な業務であることから、大企業の依頼が多いです。年収に幅はあるものの、高収入が見込める職種といえます。

(※1)参照元:求人ボックス(https://求人ボックス.com/ペネトレーションテスト-セキュリティの仕事)2024年7月14日調査時点

(※2)参照元:求人ボックス(https://求人ボックス.com/セキュリティエンジニアの年収・時給)2024年7月14日調査時点

ペンテスターの仕事内容

ペンテスターの仕事内容は、ペネトレーションテストを実施して、セキュリティ評価を顧客に報告することです。セキュリティ評価は、攻撃者目線で行い、セキュリティの課題・改善方法を見つけます。

ペネトレーションテストは、計画策定からスタートします。評価対象範囲や評価スケジュール、評価形式、攻撃シナリオ、制限事項などをヒアリングした上で、要望に合うテストを計画しなければいけません。

計画に沿って、情報収集から脆弱性スキャンの実施、攻撃の実施、横展開・権限昇格と進めていきます。最終的に侵入したシステムやネットワークで攻撃者の目標を達成し、この過程で分かった課題を取りまとめます。

その後、報告書をまとめ、ペンテスターの仕事は完了です。脆弱性の説明はもちろん、脆弱性に対する深刻度や改善案まで報告します。

ペンテスターになるには

ペンテスターになるためには、セキュリティ領域の実務経験を通して、ペンテスターに求められる必須スキルを習得する必要があります。資格については、必ずしも必要なものはありませんが、セキュリティの専門職になるため、まずはセキュリティの基礎固めから始める必要があります。

ペンテスターに必要なスキルセット

ペンテスターに必要とされているスキルは、コンピューターサイエンスやセキュリティの基礎スキル、サイバー攻撃スキル、論理的思考力です。

特にコンピューターサイエンスの基本的な知識は重要になります。ツールしか使えない初心者と応用力のある優秀なハッカーの違いがここにあります。オペレーティングシステム、ネットワーキング、データベース、プログラミング言語などの知識が必要です。

また、セキュリティの基本的な原則や概念の理解もしておきましょう。顧客に説明するためにも必要なスキルです。その他、脆弱性やセキュリティ基礎技術、セキュリティ製品の仕組みといった知識を習得しておく必要があります。ちなみに、サイバー攻撃の手法や攻撃ツールの知識も、実務に直結する重要スキルです。

ペンテスターはテスト結果を攻撃技術に詳しくない担当者や経営者層に報告しなければいけません。そのため、このような幅広い知識に加え、物事を体系的に整理した上で相手の理解に合わせた説明ができるような、論理的思考力が求められます。

ペンテスターに必要な資格

前述した通り、ペンテスターに必須の資格はありません。セキュリティに関しては、国内団体が主催する資格として、IPA(独立行政法人情報処理推進機構)が主催する情報処理安全確保支援士試験があります。

ペンテスターに特化した資格については、国内団体が主催するものはなく、海外発信の有名な資格でCEH(Certified Ethical Hacker)があります。CHEはアメリカの資格で3年ごとに更新が必要です。同じくアメリカの資格として、GIAC(Global Information AssuranceCertification)やOSCP(Offensive Security Certified Professional)があります。2024年7月調査時点で、価格が安いのはOSCP、知名度が高いのはCEHだという情報もありました。

ペンテスター業務経験者に
聞いてみた!
必要なスキル&おすすめの
資格や勉強法

ペンテスター業務に関わったことのあるエンジニアの皆さんにアンケートを実施。
ペンテスターとして必要なスキルやおすすめの資格、勉強法などを、ご自身の経験をもとに回答してくれました。

Q. ペネトレーションテスト業務まで携わるために、必要なスキルや資格は?
また、ご自身でしていた自己研鑽は?

[インフラ設計構築から転身]_アイコン

ペネトレーションテストに携わるために、まずTCP/IPやファイアウォール、IDS/IPSなどのネットワークやセキュリティの基礎知識が必要だと思っています。

また、PythonやBashといったプログラミングスキル、さらにNmap、Metasploit、Wiresharkなどのセキュリティツールの使用経験が不可欠です。資格面では、CompTIA Security+、CEH、OSCPなどが有利に働くでしょう。

自己研鑽の手段としては、UdemyやCourseraのオンラインコース受講、TryHackMeやHack The Boxでの実践、セキュリティフォーラムやイベントへの参加が効果的なのではないでしょうか。

[情シスから転身]_アイコン

ペネトレーションテスト業務に特化した資格はCEH(Certified Ethical Hacker)やOSCP(Offensive Security Certified Professional)など複数ありますが、いずれもネットワーク・Linux・セキュリティの基礎知識が十分に備わっていることを前提としています。そのため、まずは実務経験を積み、基礎スキルを確立した後に取得を検討するとよいでしょう。

自己研鑽としては、実際に環境を構築する、キャプチャ・スキャンを試す、英語の技術文書に慣れる、レポート作成の練習、セキュリティ関連のニュースサイトやX(旧Twitter)、IPAのメールマガジンやCVEサイトを活用しながら情報収集は欠かさないなどでしょうか。

ペネトレーションテストは単なる技術スキルだけでなく、適切なリスク評価やレポート作成、クライアントへの説明能力も求められます。未経験からペネトレーションテスト業務に携わるために評価されるポイントとして、以下が重要です。

  • ネットワーク・Linux・セキュリティの基礎をしっかり学ぶ
  • 資格取得で体系的な知識を証明する
  • 自発的な学習意欲を示す
  • 問題解決能力やコミュニケーションスキルを強調する
  • 異業種で培ったスキルを活かせることをアピールする

ペネトレーションテストは、攻撃者の視点で考えながら防御策を検討する高度な業務ですが、着実にスキルを積み重ねれば未経験者でもチャレンジできます。 自身の学習意欲やモチベーションをしっかりアピールし、実務経験を積んでいきましょう。

回答は脆弱性診断業務を主とした視点で記載されています。
※ペネトレーションテストや脆弱性診断ツールの使用には、法的なリスクが伴う場合があります。
※適切な指導の下で実施し、許可を得ていない環境に対して絶対にツールを使用しないようにしてください。

今回アンケートに答えてくれたのは、当メディアの監修企業でもあるアウトソーシングテクノロジーのセキュリティサービス課で、複数のセキュリティ業務に関わっているエンジニアの方々。その多くは未経験からの出発だったようです。

次に未経験からペンテスターへ転職するためのポイントをご紹介します。

未経験からペンテスターへ
転職するには?

ガドマガ編集チーム画像
ガドマガ編集チームより
選ぶ業界によって積める経験や
転職難易度は変わる

ペンテスターを含むセキュリティ領域のエンジニアを未経験から目指す場合、まず注目したいのは「どの業界でスタートするのか」。業界によって積める経験値や転職難易度が大きく変わる領域でもあるからです。

次によくある3つのセキュリティ業界を比較した調査結果を紹介していますので、転職活動の一助になれば幸いです。

未経験者におすすめなのは?
セキュリティ業界調査を見る

いかがでしたでしょうか。今回アンケートにも協力してくれたアウトソーシングテクノロジーは、IT未経験からでもセキュリティエンジニアになれる育成・サポート体制が整っている企業です。最後に簡単に紹介させていただきますので、興味のある方は詳細を確認してみてください。

ページ監修
Sponsored by OSTechグループ
株式会社アウトソーシングテクノロジー
豊富な案件を通してキャリアアップできる
株式会社アウトソーシングテクノロジーHPキャプチャ

国内外グループ全266社、日本国内に54の営業拠点を構える(※2023年12月時点)OSグループの一員であるアウトソーシングテクノロジー。2004年の設立以来、「人材 × テクノロジー」のソリューションサービスで、現場の課題解決をサポートしています。

事業の柱である「人材」の育成にも注力。特にセキュリティエンジニアは、セキュリティメーカーやベンダーと共同でセキュリティ人材育成プロジェクトを推進するなど、セキュリティ業界未経験者はもちろん、経験者がより経験を積むための育成体制を整え、2024年には約150名、2025年には約280名のセキュリティ人材輩出を計画(※2024年2月19日時点、公式HPより)しています。

カジュアル面談も積極的に行っているそうなので、キャリアを検討する一選択肢として活用してみてはいかがでしょうか。

カジュアル面談フォームを
CHECK
アウトソーシングテクノロジー
の会社情報まとめはこちら
運営会社情報
このページを調査したのは…
Zenken株式会社「ガドマガ」編集チーム

新たな職業の選択肢を!をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。 このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。

運営会社情報
あわせて読みたい!関連記事