エシカルハッカーとは?そして、なぜ企業は彼らを雇うのか?

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

「ハッカー」という言葉の意味を誰かに明らかにしてもらおうとすると、必ずと言っていいほど議論が巻き起こります。しかし、ハッキングは新しい概念ではありません。実際、何十年も前から存在しています。60年代には、ハッキングとは単にシステムや機械を最適化し、より効率的に動作させることを意味していました。

その後、ブラックハットハッカーへの恐怖と憧れが「ハッカー」という言葉を曇らせ、その結果、多くの人が悪意のあるハッカーとエシカルハッカーとを区別するようになりました。この記事では、後者に焦点を当てます。

1. エシカルハッカーとは何ですか?

エシカルハッカーは、悪意あるハッカーと同様に、標的のサイバー防御を突破することを最優先の目的としています。しかし、その名が示すように、エシカル(倫理的)ハッカーは法律の範囲内で活動し、発見した脆弱性について企業に警告を発します。エシカルハッカーの中には、独立して活動する者もいますが、多くの企業は雇用したり、パートナーとして雇ったりしています。

エシカルハッカーの定義 :コンピュータやソフトウェアのシステムまたはプロセスをテストし、セキュリティを評価、強化、改善することを専門とするセキュリティ専門家。

Ethical Hacker Insights Report 2021 ,Intigriti

ハッキングというと、黒っぽい服を着てノートパソコンに向かうアナーキストのような、犯罪を連想させる印象を持つ人が多いです。しかし、倫理的ハッキングは全く逆のものです。2021年、世界中の情報セキュリティ専門家の間でも、エシカルハッカーになることを野望にするほど人気があります。

2. なぜ企業はエシカルハッカーを雇うのか?

企業がエシカルハッカーを雇う理由はいくつかあります。主に、エシカルハッカーの助けを借りることで、企業は攻撃的なアプローチで防御的な戦略を実行することができます。 

エシカルハッカーは高度な技術を持ち、ブラックハットハッカーの行動を安全に再現して、企業のサイバーセキュリティ態勢の弱点を浮き彫りにすることができます。エシカルハッカーと協力することで、企業は自社の脆弱性を認識し、修正することができます。これは、サイバーセキュリティの防御力を向上させるだけでなく、サイバー犯罪者の一歩先を行く力を与えることになるのです。

また、企業がエシカルハッカーを採用するもう一つの理由は、企業の責任を限定することができるためです。実際にサイバー攻撃を受けた場合、企業はそれを回避するために講じた措置を証明することができます。

また、エシカルハッカーを雇用することで、企業は次のようなことが可能になります。

  • 継続的なセキュリティテストへ専念できる 
  • サイバー攻撃による損失リスクの低減 
  • データ保護者としての評価と信頼性の向上 
  • 日々進化するサイバー脅威に対応するため 
  • 重要な学習と洞察に基づいた社内チームの育成

企業が採用するエシカルハッカーには、いくつかの種類があります。

エシカルハッカーの種類 

1. レッドチーム・ブルーチーム 

レッドチーム対ブルーチームの演習は、組織の予防、検知、対応制御を強化することを目的としています。このモデルは、レッドチームが攻撃し、ブルーチームが防御するという海軍に由来しています。これらのサイバーセキュリティの専門家は、継続的なフィードバックと双方向の知識の伝達を通じて、セキュリティを向上させるために緊密に協力します。

2. バグハンター 

バグハンターは、継続的なセキュリティテストを行うサイバーセキュリティの愛好家および専門家のクラウドソーシングです。彼らは非常に創造的な人物で、事前に定義された方法論に従わずに欠陥や脆弱性を発見することに精通しています。バグハンターは、時間に対して報酬を受けるのではなく、新しい独自の対象範囲内の脆弱性の報告に成功した場合に、組織から報酬を受けることになります。 

バグバウンティプラットフォームでは、セキュリティ主導の組織がプログラムを公開し、バグハンターにサイバーセキュリティの問題を調査して提出するよう呼びかけることができます。プログラムは、公開(誰でも投稿可能)または非公開(特定のバグハンターに参加を呼びかける)にして、期限付きまたは期限なしのいずれかにすることができます。しかし、ほとんどの企業は、継続的なセキュリティ・テストを実施するために後者を選んでいます。

3. ペネトレーションテスター 

ペネトレーションテスト担当者は、通常、クライアントが設定した時間枠やターゲット範囲内で、悪意のある外部者からの攻撃をシミュレートし、コンピュータシステムやネットワークの安全性を評価します。その目的は、攻撃のベクトルや脆弱性、管理の弱点を特定することです。自動化されたツールに支えられた様々な手動技術を使用し、既知の脆弱性を悪用することを検討します。

Intigritiのバグハンターのコミュニティでは、43%が本業としてペネトレーションテストサービスも提供しています。

3. エシカルハッカーは求められているのか?

そう、サイバー犯罪者の評判が広く報道されるようになり、エシカルハッカーが求められているのです。しかし、その認識は変わりつつあり、今日、エシカルハッカーはITセキュリティ・テストの基幹として多くの人々に認識されています。

「悪意のあるハッカーが脆弱性を発見する前に、ITセキュリティを強化するために、エシカルハッカーのサポートが必要なのです。」

ーブリュッセル航空CISO、Jean-FrançoisSimons氏 

また、バグハンターなどのエシカルハッカーは、サイバーセキュリティのスキルギャップを埋めるのに役立つため、需要が高まっています。Robert WaltersとVacancysoftによる2020年の調査によると、欧州企業の70%が適切なサイバーセキュリティの人材を確保できていないと回答しています。セキュリティ専門家のネットワークは、組織がスキル、経験、専門知識のより大きなネットワークを利用できることを意味します。このネットワークは、あらゆる場所のセキュリティ・チームに力を与え、人員を増やすことなく規模を拡大することができます。

最後に、Intelによる2021年の調査によると、ITセキュリティ専門家の73%が、エシカルハッキングの活用や脆弱性に関する透明性のあるコミュニケーションなど、セキュリティについて積極的なベンダーから技術やサービスを購入することを好むと回答しています。

4. エシカルハッカーはどのような性格の持ち主でなければならないのでしょうか。

エシカルハッカーは、高い探究心、好奇心、調査能力を持った人たちです。彼らは、動きの速い、刻々と変化するセキュリティの状況について知識を深めることに熱心です。Ethical Hacker Insights Report 2021によると、Intigritiのバグハンターの70%はプラットフォームを利用してスキルを習得、開発し、40%はチャレンジ精神に溢れているとのことです。

エシカルハッカーがハッキングする理由

バグハンターとして成功するためには、新鮮な視点でハッキングのタスクに取り組み、研ぎ澄まされた創造性を発揮し、常識にとらわれず、恐れないことが重要です。

また、忍耐強く、粘り強く、細部にこだわる必要があります。バグハンターのPieterが、自身の仕事について以下のように話しています。

「通常、私はあるターゲットで仕事をし、4、5個のバグを見つけ、次に進みますが、半年後には再びそのターゲットに戻ります。私が報告した以前のバグを同社のセキュリティチームがどのように修正したのか、また、アップデートを行った際に新たなバグが出現していないのか、興味があるからです。」

脆弱性を公開するために合法的なルートを取ることには、明らかな利点があります。お金、知名度、そしてタダで得た情報。しかし、究極的には、倫理的ハッキングとは、助けたいという強い願望を持った人々のコミュニティの一員となることなのです。 

「医療法人をターゲットにするのは、多くの人の役に立つので好きなんです。最近、無償である病院のペンテストを行いました。しかし、私は彼らのサイトを調べて多くの脆弱性を報告するのに15分しか時間をかけていません。つまり私はほとんど時間をかけずに、彼らのデジタル資産の安全を確保する手助けをしたのです。」

ーバグハンター、@kuromatae666

Intigritiのコミュニティの21%は、プラットフォーム上での主な目的は善行であり、21%はサイバー犯罪からの防衛を支援したいと考えています。

5. エシカルハッカーはどのように仕事を見つけるのですか?

エシカルハッカーは、従来の求職方法によってペネトレーションテストの仕事を探すことができます。しかし、多くの人はバグバウンティプラットフォームを通じてターゲットを探すことも選択します。前述したように、これまで公開されていなかったバグの特定に成功した場合にのみ、報酬金を受け取ります。そのため、対象範囲内のセキュリティ欠陥を探し出し、質の高いレポートを提出することには、大きな金銭的インセンティブがあります。

バグハンターとしてプログラムに参加してバグを発見した場合、その報告が組織に届く前に、トリアージと呼ばれる品質管理のプロセスを経ます。この追加ステップにより、成功するための最良の機会を得ることができ、企業は有効なレポートのみを受け取ることができるようになります。

バグバウンティプラットフォームでは、何が「安全」なハッキングなのかが非常に明確であるため、善意の報告であるにもかかわらず法的措置で脅かされるような心配はありません。また、バグバウンティプラットフォームで活動している企業は、サイバーセキュリティの分野で先進的である可能性が高いです。

エシカルハッカー・コミュニティと同様に、企業はバグバウンティ・プラットフォームを、最も信頼性が高く安定したプログラム構築方法の1つであると認識しています。例えば、Intigritiにクライアントとして登録すると、カスタマーサクセスマネージャーがプログラムの明確な範囲を定義し、バグハンターへの報酬や予算の流れの管理方法などの側面からアドバイスしてくれるでしょう。 

6. エシカルハッカーになるための条件とは?

資格に関して言えば、公式な要件はありません。ほとんどのハッカーは、独学、オンラインブログや記事、オンラインコースなどを組み合わせてハッキングの方法を学んでいます。

しかし、Intigritiのコミュニティやバグハンターのほとんどは、最高レベルの教育を受けるためのステップを踏んでおり、これは彼らの本質的な成長の必要性を示していると言えるでしょう。資格は便利ですが、誰もが活かせるということではありません。従来の教室の外で学ぶことで、サイバー犯罪の活動や技術をより正確に反映させることができます。

7. エシカルハッカーの年収は?

PayScaleによると、米国のペネトレーションテスターの年収は58,000ドルから144,000ドルの間です。英国では、平均年収は約39,000ポンドです。フランスでは、平均年間基本給は40,000ユーロです。ただし、エシカルハッカーは、バグバウンティハンティングなどの追加作業で年収を上げることができます。

Intigritiのコミュニティにハッキングの動機を尋ねたところ、63%がより多くの収入を得るために脆弱性を探していると答えました。また、10%の人は、バウンティ収入が唯一の収入源となっています。しかし、半数以上(52%)は、バグバウンティの収益が総収入の10%未満であると答えています。 

2020年8月、Intigritiのバグハンター、@MattiBijnensは、非常にエキサイティングな新機軸に到達しました。テスラを買えるだけのバグバウンティを獲得することを自らに課し、ついにその目標を達成したのです。

8. ハッカーはどこで働いているのか?

どこからでも仕事ができる文化がビジネスで広まるにつれ、エシカルハッカーの世界も広がっています。リモートワークによって、企業やハッカーが世界のあらゆる場所からコラボレーションできるようになったのです。2020年、Intigritiのバグハンターは、140カ国以上から脆弱性レポートを提出しました。 

リモートワークの傾向が強まっていることを考えると、この数字は今後数年で大きく伸びることが予想されます。FlexJobsの調査では、回答者の65%がパンデミック後にフルタイムでリモートワークに移行したいと回答し、31%がハイブリッドなリモートワーク環境を希望しています。 

バグバウンティプラットフォームでは、セキュリティ専門家がどこにいても仕事ができるため、他ではこのレベルの柔軟性を得られない候補者にとって、魅力的な選択肢となっています。

出典:Intigriti

https://blog.intigriti.com/2021/05/27/what-is-an-ethical-hacker-and-why-do-companies-hire-them/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください