過去の記事で「ホワイトハッカーになろう CTFって何?」を書きましたが、ちょっと表面的な事しか書かなかったのでもう少し掘り下げて書いていきます。もう少しハッキング関連の記事を書きたいのですが、これ系の記事はデリケートなのでご了承ください。詳細はこちらの記事をごらんください。
ホワイトハッカーの仕事
ホワイトハッカーとは結構あいまいな言葉で、職業を限定して「コレです」とは言いにくいものです。あえて言えばセキュリティ(サイバーセキュリティ)関連の仕事をしてる人でしょうか。
みなさんがイメージするホワイトハッカーは映画やドラマで警察にやとわれて、カタカタターンとキーボードをたたき事件解決の手助けをするものではないでしょうか?なかなかそんな職業は無いと思いますがセキュリティ求人にはCTF受賞歴などが求めれれる場合があります。CTF上位者になればスカウトがあるかもしれません。
もしあなたが若いなら英語と数学そして基本情報(基本情報技術者試験)を勉強することをおすすめします。
もしあなたが若くないなら趣味でハッキング(セキュリティ)を勉強することをおすすめします。
ペネトレーションテスター
ペネトレーションテスターとは脆弱性診断士のことを言います。資格もありわかりやすくホワイトハッカーなのはペネトレーションテスター略してペンテスターではないでしょうか?職務内容はインターネットにつながるサービス(自社他社問わず)に脆弱性がないか調べて報告します。私も一度はペンテスターを目指してOSCP(3か月)を受講しましたが、途中で本当にペンテスターになりたいのかわからなくなって試験はうけませんでした(たぶん受験しても落ちたと思います)。毎日書類作成と無いかもしれない脆弱性を探す(診断する)のは辛そうです。
IppSecのYouTubeやRanaさんのWriteupをみながらHackTheBoxをやるといいです。入門書としては「ハッキングラボ」が良いと思いますが、kali(ペンテスト特化のLinux)の仕様もかなり更新されてるで書籍どおりには出来ないと思います。しかし入門書としてはとても良い本なのでお勧めです。最新のペネトレ本は「ペネトレーションテストの教科書 (ハッカーの技術書) 」こちらはまだ読んでいませんので感想は言えません。
バグバウンティ
バグバウンティとはバグ報告報奨金制度を言います。バグ(脆弱性)をみつけて報告します。深刻度に応じて報奨金が設定されています。このバグバウンティ制度を取り入れる企業は増えていて、海外では仕事を辞めてバグハンターになるひとも居るようです。
ライバルも多く、簡単なのは価格も低いので、バグバウンティ単体で生計をたてるのは大変そうです。
主戦場はwebの脆弱性診断になるかと思いますがそれ以外もあります。とりあえず「リアルワールドバグハンティング ―ハッキング事例から学ぶウェブの脆弱性」や「徳丸本」を買って読んでみると良いと思います。IPA(安全なウェブサイトの作り方)にも一通り目を通しておくと良いですよ。
防衛相サイバーセキュリティ職員
スノーデンのように国の機関に就職するという選択肢もあります。令和3年3月に防衛相によるサイバーセキュリティコンテストが開催されました。国としてもサイバーセキュリティ人材を増やしたいようです。
その他の職業
その他として紹介するのは申し訳ないのですが、ホワイトハッカー(セキュリティ)と一言で言っても幅広いので紹介しきれません。マルウェア解析、ログ解析、暗号解析、車のセキュリティ、IoTセキュリティ、などなど。その他にもサイバーセキュリティに関わる職業はたくさんあります。ブラックハッカー(悪いハッカー)から守る職業と考えていけば、なりたいホワイトハッカー像が描けてくるとおもいます。
おわりに
若い人は英語と数学と基本情報を勉強すること。そんなに若くない人は趣味でハッキング(セキュリティ)を勉強することをお勧めします。趣味で人に迷惑をかけずに勉強するぶんには、好きな事だけ勉強することが出来ます。スクリプトキディでも趣味で楽しいなら恥じることはありません。趣味で楽しんでる人にケチをつけるのは野暮ってものです。みなさんがサイバーセキュリティに興味をもって楽しく勉強を続けれる事を心から願っています。
