『ホワイトハッカーの教科書』2022/5/10
IPUSIRON (著)

 法令遵守と倫理観を持った専門スキルを活かすハッカーになるためのさまざまな知識やスキルについて学べる本で、内容は次の通りです。
CHAPTER 01 ホワイトハッカーとは
CHAPTER 02 ホワイトハッカーに必要なもの
CHAPTER 03 ホワイトハッカーを目指すために知っておくべきこと
CHAPTER 04 ホワイトハッカーになるための教材
CHAPTER 05 ホワイトハッカーの成長
   *
「CHAPTER 01 ホワイトハッカーとは」には、次のように書いてありました。
「ホワイトハッカー(White hacker)とは一般にセキュリティを専門とし、法令に遵守できる知識を持ち合わせて、倫理観を持った上で善良な方面に専門スキルを活かすハッカーのことです。サイバー攻撃や不正アクセスを防ぐことを目的として、脆弱性を発見したりセキュリティ対策を行ったりします。」
 そしてセキュリティ知識分野人材スキルマップにおける役割には、次のようなものがあるそうです。
・CISO(最高情報セキュリティ統括者)
・PoC(Point of Contact):連絡窓口
・ノーティフィケーション:組織内調整&組織内情報発信
・コマンダー:自社のインシデントを全体的に統括
・トリアージ:事象の対応における優先順位を決定
・インシデントハンドラー:インシデントを処理
・インシデントマネージャー:インシデントハンドラーに指示を出すなど
・リサーチャー:必要な情報を収集してキュレーターに引き渡す
・キュレーター:リサーチャーの情報を分析し、それを適用すべきか選定する
・セルフアセスメント・ソリューションアナリスト:自社の事業計画に合わせてセキュリティ戦略を策定
・脆弱性診断士
・教育・啓発
・フォレンジックエンジニア:システム的な鑑識、精密検査、解析、報告
・インベスティゲーター:内外からの犯罪捜査
・リーガルアドバイザー:コンプライアンス、法的観点から遵守すべき内容に関する橋渡し
・IT企画部門
・ITシステム部門
・情報セキュリティ監査人:適切な管理策の整備、運用状況について、基準に従って検証または評価。保証や助言を与える
   *
 そして「CHAPTER 02 ホワイトハッカーに必要なもの」によると、ホワイトハッカーの4条件には、「技術力」、「倫理」、「法律」、「素質(好奇心、情熱、発想力、洞察力、柔軟性、判断力、問題解決能力、論理的思考力、継続力を要する)」があるようです。
「CHAPTER 03 ホワイトハッカーを目指すために知っておくべきこと」では、ホワイトハッカーに必要なスキルについて、次のサイトが参考になると紹介されていました。
1)経済産業省のITスキル標準プラス(ITSS+)
2)JNSAのセキュリティ知識分野(SecBok)
 また「ハッキングの実験では複数のOSを同時に実行する環境が必要になる場合があります。それを実現する方法として、次が挙げられます。」として、実機・仮想環境・クラウドを使い分ける方法が、次のように紹介されていました。
1)仮想環境で安全にハッキング・ラボを構築する
2)隔離したネットワーク内に物理PC(実機)を配置する
3)Dockerで脆弱Webアプリケーション環境を構築する
4)Windows+WSL2を用いてLinuxを動かす
5)Linuxのブート用USBメモリを用いる
6)マルチブートでOSを切り替える
7)クラウド環境にLinuxをインストールする
 ……なお「どの選択肢がよいかは状況次第です。」だそうです。
 さらに「CHAPTER 04 ホワイトハッカーになるための教材」では、セキュリティ業界の代表的ガイドラインがいろいろ紹介されていましたが、そのうちの一部を紹介すると以下のような感じ。
1)IPA(安全なウェブサイトの作り方、組織における内部不正防止ガイドライン、TLS暗号設定ガイドライン)
2)総務省(テレワークセキュリティガイドライン、スマートシティセキュリティガイドライン)
3)経済産業省(サイバーセキュリティ経営ガイドライン) など。
  *
 またここでは、「経済産業省の巣ごもりDXステップ講座情報ナビ」が、とても使えそうに感じました。なんとこれは、「誰でも無料でデジタルスキルを学ぶことのできるオンライン講座」で、「コンテンツは、Python、AI、機械学習、データサイエンス、Azure、自然言語処理、G検定、量子コンピュータ、ブロックチェーンなど、多岐にわたります。」なのだとか!
 そして「CHAPTER 05 ホワイトハッカーの成長」では、ホワイトハッカーの仕事の一つ、ペネトレーションテストや脆弱性診断について、次のような概要を知ることが出来ました(本書内ではもっと詳しく説明されています)。
「ペネトレーションテスト(Penetration testing)はネットワークに接続しているコンピュータシステムを攻撃して脆弱性がないかどうかを調べることです。業務ネットワーク、サービス、デジタル機器に対して攻撃者の視点で実際に攻撃し、耐性を調査します。また、標的型攻撃やソーシャルエンジニアリングによって、機密情報がどこまで漏洩してしまうのかを調査します。」
「脆弱性診断はツールを用いてシステムの問題点を探すことを目的とします。たとえばWebアプリケーション、ネットワーク、プラットフォームなどを診断して脆弱性を特定します。
 一方、ペネトレーションテストはシステムだけに留まらず、運用の問題点も特定しようと試みます。」
   *
 ホワイトハッカーになるためには、どうしたらいいのかについての情報が盛り込まれた『ホワイトハッカーの教科書』でした。「ハッキング」に関する本はほとんどが技術的な内容のものばかりなので、ここでもつい知識や技術を中心に紹介してしまいましたが……実を言うとこの本には、技術的な内容はあまり書いてありません。倫理観や向上心が高いIT技術者になる、またはビジネスマンになるための心構えのようなものがみっちり書いてあり、どちらかというと「ハッキング技術書」というよりは、ビジネスマンのための「自己啓発書」として役に立つ本だと思います。(なお「ハッキング」の技術的勉強をしたい方は、本書で紹介されているサイトやテキスト、ゲームなどを参考に、さらに勉強をすることが出来ると思います。)
 サイバーセキュリティに興味のある方はもちろん、多くのビジネスマンにとって参考になる本だと思います。ぜひ読んでみてください。
   *    *    *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>