Logo

ペンテスターのメンタルが辛そうだという話

更新    公開  

現在ペネトレーションテスターになりたいと思っている大学院生(修士1年)です。Hack The Boxとかを始めたばっかりのBoot2Root初心者です。ですがその面白さに魅了され、これを仕事にできないかと考えています。セキュリティ診断や貫通試験を生業にしていくことを考えたときに、いろいろ考えることがありました。今日はその話をしてみます。

実務経験の全くない一学生なので、めちゃめちゃ適当なことを言っているかもしれません...

自分で立ち上げたブログだからこそ、自由に書いていこうと思います。

カッコイイからやりたい

ペンテスターになりたい理由はいろいろあります。ですが一番デカいポイントはやはり「かっこいいから」です。

最も影響を受けたのは、高専時代に見た「ミスター・ロボット」でした。主人公のエリオットはちょっとアングラっぽい感じでしたが、彼の持っている技術に魅了されたことは間違いないです。このドラマをきっかけに、セキュリティ業界に憧れることになりました。

初めてBoot2Rootに触れたのは「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」という本です。説明するまでもなくあのIPUSIRONさんが書いている超有名本ですね。読んだことない方は今すぐAmazonでポチってください。

ちなみに高専と大学ではマルウェア検出に関して研究していて、オフェンシブセキュリティに関して全く学術的知識はありません。実務的技術もありません。趣味です。

侵入に成功することは楽しい

Hack The Boxなどで実際にエクスプロイトが発火し侵入に成功するときに達成感や楽しさを感じ、「俺、かっけぇ。」となります。(こんなこと言ったらブラックハットの卵に見えるかもしれませんが...本心です。)

攻撃が楽しいのもありますが、むしろパズル的な、謎解き的な要素があるのかもしれないです。 エスパーしないと解けないマシンは許せません。

個人的に理論系の研究などは苦手で、実装系が好きです。本を読み込むことが嫌いな訳じゃないですが、ハンズオン形式で学習できることは私の性分に合っているのだと思います。

なにより、試行錯誤してフラグ(root.txt)を見つけたときにしか得られない栄養があるような気がします。

ペンテスターって面白そう!

安直ですが、私はこの楽しさを仕事にできたらいいなと感じています。 これから40年、1日9時間ぐらい仕事をするにあたって、やっぱり楽しめる仕事をしたいなぁと感じます。最近就活をしていてより一層その気持ちが強くなっています。

ペネトレーションテストに強い興味を持ちだして、よくGMOサイバーセキュリティ by イエラエ株式会社のセキュリティブログを見ています。

見ているとめちゃめちゃワクワクします。すっごく面白そうだなと。

ただ...

ペンテストで大切だと思っていること

ペンテストをする際、基本的にクライアント側には知識がないことが多いと思います。ブルーチームとレッドチームがきちんと機能している企業ではそうではないのかもしれないですが。

こういう際に、クライアントが気になることは、その貫通試験は妥当なのか?抜けなく網羅的なのか?ということだと思います。

この点をきちんと説明できるよう、ペンテストの成果物として理路整然としたドキュメントを書く必要があると思います。ここは論文と似ているかなと感じます。

攻撃が成功しなかったら?

本題です。

オフェンシブセキュリティをやっている以上、当たり前ですが攻撃をすることが仕事になるはずです。

当初予定していたシナリオを達成したが、攻撃が成功しなかったら?何も発見できませんでした。という報告書を書くことになるのでしょうか?

実際、ペンテスターの攻撃成功率は高くはない、ということを元ペンテスターの大学教授が話していました。

もちろん、理想論を言えば、適切に設計・運用されているシステムには攻撃が成功しないことが良いことだと思います。そう思えば、ペンテスターは防御を前に立ち尽くすだけの運命であるということがデフォルト思想にあるべきなのではないかというような気がしてきます。

これが、私が今最も感じている実務とCTFの差です。

Hack The Boxなどに用意されているマシンの侵入は、必ず成功ルートがあり、諦めなければいつかは必ず成功するはずです。この前提がめちゃめちゃデカくで、私のやる気に繋がっているように感じます。

一方で、実務でテストするシステムに脆弱性があるかは分かりません。いくらTry Harderとはいっても、その先に答えがないとしたら?無に向かって猛進し続けているとしたら?という恐怖があるように思えます。

この点は研究の辛さに似ていて、シンパシー(?)を感じます。

正しいメンタルの持ち方は?

私のペンテスターへの憧れ、動機は、

Hack The Boxなどで実際にエクスプロイトが発火し侵入に成功するときに達成感や楽しさを感じ、「俺、かっけぇ。」となります。

でした。しかし前述したように、Goodなシステムには侵入できないことがデフォルトであるならば、攻撃が成功することにモチベーションを持っていると、途中でやる気を無くしかねないと思います。

CTF楽しい!から入社した!けどなんか違う...になるような人も多いのかなと思っています。

実際に企業で活躍されている方がどのような面持ちでペンテストに取り組んでいるのか、何をモチベーションにしているのか、すっごく気になっています。(是非TwitterのリプやDMでも教えてください!)

とはいえ

とはいえ、めちゃめちゃ興味があって今のところは正しいメンタルの持ち方を模索して、この界隈に踏み入れたいと考えています。

なんだかんだ、「カッコイイ!」という気持ちがシンプルにして最重要な気もしてきました。根拠のない自信が最強です。

修士論文を書きながらメンタル強度もより一層高めていけたらと思います。

これから夏インターンシップがたくさんあるので、是非企業様で多くのことを学んでいきたいです!