GPENとは?詳しく解説させていただきます
GPENの概要について
ここでは、GPEN(GIACペネトレーションテスター)について説明させていただきます。
GPENはSANS Instituteが主催する資格であり、
情報セキュリティ分野のおいてのペネトレーションテストを実行するための
専門的な認定資格となります。
SANS Instituteは政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立された組織で、世界トップレベルのセキュリティ研究・教育機関として業界から大きな信頼と権威を獲得しております。
設立以来165,000人を超えるセキュリティの専門家や情報システム監査人、システムアドミニストレータ、
ネットワーク管理者などに情報セキュリティ教育プログラムや各種セキュリティ情報・意見交換の場などを提供しております。
SANS Instituteを構成するメンバーの中心は、ネットワーク社会の健全な発展のために労を惜しまず調査・研究を行っている政府機関や企業、大学の関係者などです。
調査・研究した成果物である情報リソースは、ニュースダイジェストやリサーチサマリー、脆弱性情報、その他研究報告書等にまとめられ、世界各国に配信されていることでも知られ業界に大きな影響を与えているといっていいでしょう。
また、SANS Step-by-Step Seriesなどの出版物による収入は、大学のセキュリティ研究プログラムに役立てられております。
教育研修によって得られた収入は、情報セキュリティに関する研究プロジェクトや、トレーニングプログラムのさらなる充実のために還元されています。
GPEは、ベストプラクティスの手法と方法論を使用して、ペネトレーションテストを適切に実施する実践者の能力を検証するための認定資格となります。保有者は、エクスプロイトを実施し、詳細な偵察を行うだけでなく、
侵入テストプロジェクトにプロセス指向のアプローチを利用するための知識とスキルを持っています。
ペネトレーションテストというのは、ITシステムまたはネットワークのセキュリティ体制を評価するために設計されたテストです。
これは、システムの脆弱性、その構成、およびシステムを保護するプロセスを識別するために使用されます。
侵入テストは、セキュリティの専門家または部外者が実施でき、それらは攻撃者によって悪用される可能性のある脆弱性があるかどうかを判断することが可能です。
その目的は、システムの安全およびハッカーやその他のサイバー犯罪者によって侵害されていないことを証明することで、セキュリティ監査において最も重要な部分と言えます。
これにより、ハッカーやその他の悪意のある攻撃者によって悪用される可能性のある脆弱性を特定することに役立ちます。
また、ファイアウォール、侵入検知システム、ウイルス対策ソフトウェアなどのセキュリティシステムの有効性をテストするためにも使用できます。
ペネトレーションテストは、攻撃をシミュレートすることにより、コンピュータシステムまたはネットワークのセキュリティを評価するプロセス
という見方もでき、既存のセキュリティ管理の有効性を評価および改善するためによく使用されます。
組織のITインフラストラクチャに存在する可能性のある脆弱性を見つけるには、侵入テストが必要です。
また、セキュリティポリシーと手順に変更を加えることで、リスクを特定し、リスクに対処できる領域に優先順位を付けるのにも役立ちます。
GPENのテストについて
GPENのテストについて説明させていただきます。
対象者としては、脆弱性を見つけて修正するためのネットワークとシステムの評価を担当するセキュリティ担当者、浸透テスター、倫理的なハッカー、レッドチームメンバー、ブルーチームメンバー、
攻撃的な戦術をよりよく理解したい防御者、監査人、および法医学の専門家とされており
セキュリティに関する幅広い職業が該当します。
GPENは監督付き試験で、82の質問を3時間の時間をかけて実施され、75%以上の得点で合格となります。
試験認定の目的と結果の説明については以下のようにSANS Instituteによって定義されておりますので
それぞれについて説明させていただだきます。
パスワード攻撃について説明させていただきます。
パスワード攻撃は、ユーザーのパスワードを推測することによってシステムへの不正アクセスを取得しようとしたときに発生する方法となり、これらはブルートフォース攻撃または辞書攻撃など様々な方法で行われます。
ブルートフォース攻撃は最も一般的な形式であり、通常、文字数の多い弱いパスワードを標的にします。辞書攻撃は、一般的な辞書にある単語を標的にします。
パスワード攻撃のリスクは、攻撃の種類とシステムによって保護されている情報の種類によって異なります。
たとえば、クレジットカード番号などの機密データがシステムによって保護されている場合、ブルートフォース攻撃や辞書攻撃でデータを解読する方法を理解するのに十分な時間があるため、
誰かがそれらを盗むというリスクが高くなる点について理解する必要があります。
パスワードは、私たちが実施している最も重要なセキュリティ対策の1つです。
それらは私たちの身元、個人情報、さらには私たちのお金を保護するために使用されます。
ただし現在の我々の生活においてあらゆるパスワードを頻繁に利用するため、それらは気がつかないうちに
大きなリスクに晒されていることを理解する必要があります。
また、パスワードへの接続が増えるにつれて、パスワードの安全性はますます低下しています。
暗号化やその他の技術の進歩により、サイバー犯罪に対する新しいセキュリティと保護の重要性は高まっており
利用者や管理者はさらに意識を高く必要があります。
次に、Azureアプリケーションと攻撃戦略とAzureの概要、攻撃、およびAD統合について
説明させていただきます。
ここでは、Azureアプリケーションとフェデレーションおよびシングルサインオン環境やAzureAD認証プロトコルを含むそれらに対する攻撃についての知識や
Azure Active Directoryの実装の基本、一般的なAzure AD攻撃、およびAzure認証技術についての知識が問われます。
Azure認証テクノロジーは、行動分析、機械学習、および人間の介入を組み合わせて使用して、
シングルサインオン(SSO)機能を提供するデジタルID管理システムです。
Microsoft Azure Active DirectoryおよびMicrosoft Azure Multi-Factor Authenticationテクノロジーから進化した高度なもので、組織がログインプロセスを簡素化できるように設計されているテクノロジーです。
これにより、ユーザーは、パスワード、ユーザー名、またはその他の資格情報を覚えていなくても、Azureサービスにログインすることが可能です。
Azure認証テクノロジーのユースケースはさまざまです。それらは、人々が新しいサービスに簡単にサインアップできるようにすることから、
会社のWebサイトへのフィッシング攻撃のリスクを減らすことまで多岐にわたります。
Azure認証テクノロジーは、機械学習やCortanaやMicrosoft Bot FrameworkなどのAIテクノロジと組み合わせて使用することもできます。
次に、ドメインエスカレーションと永続性攻撃について説明させていただきます。
ここでは、Active Directoryへの管理アクセスを統合および永続化するために使用される一般的なWindows特権昇格攻撃およびKerberos攻撃手法についての知識を問われます。
Active DirectoryというのはMicrosoftが提供するサービスであり、Windows Serverに標準搭載されている機能として
知られております。
システム管理者が複数のユーザーを一元管理するためのシステムで、
Active Directoryを有効に活用することでシステム管理者の様々な負荷を下げる効率的な運用や監視を実現することができるようになります。 Active Directoryが導入された背景として、PCやタブレットの普及に伴い管理コストの増加が影響している以外にも、
企業のコンプライアンスや情報漏洩対策が重視され、企業内の情報資産の管理とセキュリティが求められるようになってきている時代背景も影響しております。
クラウドサービスが普及している昨今においても企業内の管理者にとって
Active DirectoryにActive Directoryの知識は非常に重要となっております。管理者側と社員側両方にとってメリットが存在することも知っておきましょう。
まず、管理者側のメリットとしては、サーバーなどのアクセス権を管理することができる点や、個別の端末についても一元的に管理することができる点となります。
アカウント・IDの管理や、プリンターやネットワークの管理も行えるため社内のシステム全般についての管理がスムーズに実行できるという点も大きなメリットとなります。 一方、社員側のメリットとしては、Active Directoryを導入することでセキュリティー面について様々な設定を行う必要がなく、
管理者側に任せることができるという点があります。 プリンターなどの登録も管理下にあるためスムーズに利用することができる点もメリットと言えるでしょう。特に大企業や社員数の多い企業の場合ですと、管理するPCや端末の台数が多くなるため一台一台管理することは 非常に大変となります。
Active Directoryがあれば管理者がリモートで全て設定を実行することができるため、業務の効率が上がります。
Active Directoryには、ドメインネームシステム(DNS)、ライトウェイトディレクトリアクセスプロトコル(LDAP)、
ActiveX Data Objects(ADO)などのコンポーネントが含まれています。これらのコンポーネントは、ネットワークリソースの認証、承認、およびアクセス制御を提供するために使用されます。
Active Directoryサービスは、ネットワークリソースへのユーザーアクセスを管理するため、どの組織でも重要です。
Active Directoryに関連するキーワードがLDAPとなります。
LDAPは、組織内の認証と承認を管理するために使用されるプロトコルです。これは、世界で最も広く使用されているプロトコルです。
どのLDAPソリューションが会社に最適であるかは、探しているものによって異なります。たとえば、新しいユーザーを管理できるようにしたい場合は、OpenLDAPが最適なオプションです。本格的なディレクトリサービスをお探しの場合は、Active Directoryが最適な選択肢となる可能性があります。
会社のニーズに最適なLDAPソフトウェアは、会社が必要とする機能と、会社が導入しているテクノロジスタックによって異なります。
次にエスカレーションと悪用について説明させていただきます。
エクスプロイト、侵害されたホストからのデータ抽出、およびターゲットネットワーク内の他のホストをエクスプロイトするためのピボットの基本的な概念について出題されます。
次に、侵入テストの計画について説明させていただきます。
ここでは、侵入テストに関連する基本的な概念を示し、侵入テストとレポート作成にプロセス指向のアプローチに関する内容が出題されます。
ペネトレーションテストでは、さまざまな種類のコンピュータシステムやネットワークでこれらのテストを実行できる自動化ツールが利用されます。
侵入テスターは、これらのツールを使用して作業を実行しそれらを使用して、複数のシステムまたはネットワークでこれらのテストを同時に実行するプロセスを自動化することもできます。
さまざまなツールが利用できるため、侵入テストに最適なツールを見つけるのは簡単ではありません。この記事の目的は、ニーズに最適なツールを見つけるのに役立つことです。
侵入テストに適していると一般的に考えられているツールとして、Burp SuiteはWebアプリケーションセキュリティスキャナーであり、使いやすいインターフェイスを備えています。 Webサイトやアプリケーションの脆弱性を特定するのに役立ちます。
また、QualysGuardも、高い検出率を備えた使いやすいインターフェイスを提供するWebアプリケーションセキュリティスキャナーです。脆弱性データベース、脆弱性マップなどの多くの機能があります。
以上が簡単ではありますがGPENのテストの内容に関する説明とさせていただきます。
GPENに関連する資格について
GPENに関連性の高い資格はCompTIA PenTest+です。
CompTIA PenTest +は、ネットワーク上の脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナル向けの認定資格であり、
GPENの内容とも大きな関連性があります。
CompTIA PenTest+はCompTIA(The Computing Technology Industry Association)が主催する資格かつ世界的に認められた資格であり、多くのITキャリアの前提条件と
なります。また、多くの企業でIT管理職として働くための支援となります。その特徴として、
実践的でありかつ最新でありセキュリティ、インフラ領域などに強いことがあげられます。
CompTIAの歴史は長く、EDIが様々な規格で利用され情報が飛び交う中、ISOやIEEEに対し標準化を提言することを目的として各社が集まり設立されました。
設立後は規格標準化の提言を中心に、リサーチ、資格認定などIT業界と中央機関や教育機関との橋渡し役として様々な活動を行っておりました。その歴史の長さや背景、そしてその認定資格など様々な理由で
業界においても非常に大きな役割を果たす組織として知られております。
CompTIAは業界団体としての活動、メンバーの声を反映した活動や政府に対する政策立案活動やe-commerceなど技術の標準化の提言や各IT分野の資格試験の認定、
普及啓蒙などを行っており、アメリカを中心に世界的に知名度が高い団体であり日本国内でも活動を支えている企業や団体は非常に多いことで知られております。
CompTIA PenTest+はペネトレーションテストの手法、脆弱性評価、また攻撃があった際のネットワークを回復するために必要となるスキルを評価するための
資格となります。効率的に作業を進めるためにフレームワークをカスタマイズし、結果を適切に報告すると共に、ITセキュリティ全般的な状態の改善を図るための戦略を提案できるスキルとベストプラクティスを育成します。
CompTIA PenTest+では従来のデスクトップやサーバーに加えて、クラウドやモバイルなどの新しい環境でデバイスをテストするための実践的なスキルと知識も評価することが可能です。
CompTIA PenTest+では計画とスコープ、攻撃とエクスプロイト、報告とコミュニケーション、情報収集と脆弱性の識別、ペネトレーションテストツールについて
の5つに分類されます。
計画とスコープでは、
計画とコンプライアンスに基づくアセスメントの重要性を説明するための知識が問われます。
攻撃とエクスプロイトでは、ネットワーク、ワイヤレス、アプリケーションとRFベースの脆弱性のエクスプロイトと物理セキュリティ攻撃を検討し、エクスプロイトを防ぐテクニックを実行する
ための知識が問われます。
報告とコミュニケーションでは、
レポートの作成方法を活用し、発見された脆弱性に対する推奨される緩和策を説明するベストプラクティスを実行するための
知識が問われます。
情報収集と脆弱性の識別では、
エクスプロイトに備え情報収集をし、脆弱性スキャンの実行と結果の分析を行うための知識が問われます。
ペネトレーションテストツールでは、さまざまなツールを使用して情報収集演習を実施し、出力と基本的なスクリプト(Bash、Python、Ruby、PowerShell)を分析するための知識が問われます。
さて、CompTIAでは、「CompTIA Network+」「CompTIA Security+」 「CompTIA Cybersecurity Analyst」「CompTIA Pentest+」「CompTIA Cloud+」 「CompTIA Server+」「CompTIA Project+」「CompTIA CTT+」 「CompTIA Linux+ Powered by LPI」など多くの資格認定を主催しております。 これらの資格はいくつかの分野に分かれておりますが、インフラ、セキュリティ、クラウドなどに関する知識は完全に独立して存在しているわけではありません。それぞれが密接に絡み合っているため、幅広い知識を体系的に身につけることで、エンジニアとして活躍する場が広がることは間違いありません。自身のキャリアにあわせてCompTIAの複数の資格を取得することは非常におすすめです。
まず、CompTIA Security+について説明させていただきます。
これは、ITセキュリティ的なインシデントに対応するためのセキュリティ技術に関しての知識を問われる資格です。
セキュリティに関する資格の中で最も有名な資格がCompTIA Security+とCISSP(Certified Information Systems Security Professional)の二つであり、
これらは世界的な標準かつ最新の標準にマッチしており、転職市場においても非常に効果的です。
CompTIA Security+は世界的に認知される品質規格に準拠しているとし、ISO17024/17011認証を取得しております。
このISO17024/17011認証は「高水準の品質管理を行う企業として認められる」
「会社を信頼できるパートナーとして認めてもらうことができる」「サービスをより多くの人の届けることができる」など様々なメリットがあります。
セキュリティに関する資格の中で最も有名な資格がCompTIA Security+とCISSPであることは
すでに伝えましたが、難易度としてはCompTIA Security+の方が低いです。
そのためCompTIA Security+を取得した後にCISSPを取得することも有効な方法と言えるでしょう。
以上が簡単ではありますがCompTIA Security+に関する説明とさせていただきます。
次に、CompTIA Cloud+について説明させていただきます。 これはクラウドの運用及びクラウドサービス提供のための知識が問われる資格となります。 すでにクラウドサービスに関する知識はインフラエンジニアにとって必須となっております。 これからさらにクラウド化の普及が進むことは間違いありませんので、クラウドに関する基礎的な理解はすべてのインフラエンジニアにとって必須と言えます。 CompTIA Server+はサーバー製品の導入、構築、運用に関する基礎的な知識が問われる資格となります。 CompTIAの資格はすでに本文で説明したように特定のベンダーに依存しない資格のため、サーバーに関する標準的な知識を獲得することが可能となります。 CompTIA Project+は小規模から中規模までのプロジェクトを進行させるための知識が問われる資格となり、 作業者から管理者やプロジェクトマネージャーなどへのステップアップを検討するエンジニアに とっておすすめの資格となります。
次に、CompTIA CTT+について説明させていただきます。これはインストラクター側に求められる知識が問われる資格となり、講師やサポートあるいは 教育担当者として必要な基礎知識を身につけることができます。
次に、CompTIA Linux+ Powered by LPIについて説明させていただきます。 これはLinuxの導入、運用等の知識が問われる資格となります。 CompTIAは、約10年間Linux Professional Institute(LPI)と協力して、 Linuxオペレーティングシステムを実行するコンピューターシステムの構成と管理におけるキャリア指向のスキル認定を提供してきました。CompTIA Linux+ Powered by LPIは3層の包括的なジョブ指向のLinuxスキル評価プログラムの最初のレベルを認定する資格となります。従来の「Linux +PoweredbyLPI」認定を終了し新しい完全に独立した独自の「Linux+」認定としてリリースされたのがCompTIA Linux+ Powered by LPIとなります。
次に、CompTIA Cloud+について説明させていただきます。CompTIA Cloud+は
クラウドコンピューティング環境で働くITエンジニアに必要な知識とスキルを評価する国際的に認知された認定資格です。
クラウドの重要性は増加する一方であり、すべてのエンジニアの必須スキルになると言っても過言ではありません。
標準的なクラウド手法を理解すること、
クラウドテクノロジー(ネットワーク、ストレージ、仮想化テクノロジなど)を実装、保守、提供すること、
ITセキュリティについて理解し、クラウドの実装に関連する業界のベストプラクティスを使用するなどといった知識を体系的に学ぶことができます。CompTIA Cloud+を取得することで、
クラウドの設計・構築、管理・運用のスキルを有し、さまざまな業種でこのスキルを展開できることを証明することが可能です。
また、CompTIA Cloud+は特定ベンダーのクラウド知識に
依存しない認定組織となります。
ここで基礎的なクラウドの知識を身につけ、さらに各ベンダーの
資格を取得することでクラウドに関する幅広い対応力を身につけることができるでしょう。
以上が簡単ではありますがCompTIAの資格の説明となります。これらの資格は、キャリアの入り口となる資格から専門的なプロフェッショナル認定を行う資格まで、様々な難易度と内容によって分類され実施されております。
ほかにも、関連性の高い資格として
OSCP(Offensive Security Certified Professional)を紹介させていただきます。
OSCPはOffensive Securityが
主催する資格であり、ペネトレーションテストの資格となります。
Offensive Securityはサイバー脅威と戦うために世界に力を与えることをミッションとし、
セキュリティ分野において貢献することを目的としてしている組織で、これらのミッションを達成するために認定資格の発行や
オンライントレーニング、企業への指導などを実行しております。
すでに本文で説明させていただきましたようにペネトレーションテストは、さまざまな手法を使用して、コンピュータシステム、アプリケーション、
またはネットワークのセキュリティの脆弱性を特定しようとするセキュリティテストの一種です。
「侵入テスト」という用語は、「倫理的ハッキング」と同義語として使用されることがよくありますが、倫理的ハッキングは侵入テストのサブセットであり、
すべての侵入テストが倫理的ハッキングであるとは限りません。
OSCPではこれらの知識を体系的に学習することが可能となります。
また、有料となりますがトレーニングやラボなどの施設を利用することが可能であり、
時間をかけて専門的な知識を学習することが可能となります。
OSCP最大の特徴は、実践的な資格であり実技テストによって行われるという点となります。
日本国内の資格でペネトレーションテストに特化した資格はないため、ペネトレーションテストに関して専門的かつ実践的な知識を身につけたい方は是非挑戦してみてはいかがでしょうか。
OSCPでは
業界をリードする認証を求めるペンテスター、
セキュリティの専門家、
ネットワーク管理者などの技術専門家が対象の認定資格となります。
取得することで、業界においての信頼性を獲得することができ、グローバルな転職市場においても役立つことは間違いありません。
OSCPは、Offensive Securityによって提供される認定であることは
すでに説明させていただきましたが、これは情報セキュリティ業界で最も認知されている認証の一つであり、
これらの認定資格は60,000人以上が取得しています。
この認定資格を取得するには、多くの知識とスキルセットが必要です。
最良の方法は、
OSCPのトレーニングコースに参加することです。
これらは通常、大学や他の教育機関で開催されますが、一部の企業も同様に提供しています。
OSCPのトレーニングコースでは、
ペネトレーションテストにおいて知っておくべきこと、KaliLinux、コマンドライン、
実用的なツール、Bashスクリプト、受動的な情報収集、
アクティブな情報収集、脆弱性スキャン、Webアプリケーション攻撃、
バッファオーバーフローの概要、Windowsバッファオーバーフロー、Linuxバッファオーバーフロー、
クライアント側の攻撃、パブリックエクスプロイトの特定、エクスプロイトの修正、
ファイル転送、アンチウイルス回避、特権の昇格、
パスワード攻撃、ポートリダイレクションとトンネリング、ActiveDirectory攻撃、
Metasploitフレームワーク、PowerShell、ピースの組み立てと侵入テストの内訳、
情報収集技術を使用したさまざまなオペレーティングシステムやサービスを実行しているターゲットの特定、
ペネトレーションテストプロセスを支援するための基本的なスクリプトとツールの作成、
パブリックエクスプロイトコードの分析、修正、変更、クロスコンパイル、および移植、
リモート、ローカルの特権昇格、およびクライアント側の攻撃の実施、
WebアプリケーションにおけるXSS、SQLインジェクション、およびファイルインクルードの脆弱性の特定と悪用、トンネリング技術を活用してネットワーク間のピポット、
創造的な問題解決と水平思考のスキル、というような内容を学習できます。
また、オンラインジャーニーのサポートでは、
17時間以上のビデオ、
850ページのPDFコースガイド、
最近廃止されたOSCP試験機を含む70台以上の機械、
アクティブな学生フォーラム、
仮想ラボ環境へのアクセス、などを利用することが可能であり
効率的な学習を実現します。
これらのトレーニングにより、
情報収集技術を使用して、さまざまなオペレーティングシステムやサービスを実行しているターゲットを特定して列挙するためのスキルを獲得することが可能になります。
OSCPを取得するメリットの一点目はサイバーセキュリティの分野で就職するチャンスとなることです。
サイバーセキュリティの重要性はいうまでもなく、企業がサイバーセキュリティ計画を実行することの重要性は増す一方です。
最新のサイバー脅威やトレンドに追いつくのは非常に難易度が高いこともあり、専門家の需要は今後も
増加することは間違いないと予測されております。また、テクノロジーの変化に適した形で
企業は専門家を配置することや外部の専門家に業務を依頼することは今後業界のスタンダードになってくると見られております。
メリットの二点目は他の認定資格よりも高い給与となります。
上記のような理由もありサイバーセキュリティの専門家の給与は非常に高い水準となっております。
政府機関や大手企業など組織の財産と言える情報を守るエキスパートとして、今後もその給与は高水準で
推移することでしょう。
メリットの三点目が専門家を必要とするさまざまなセキュリティベンダーや企業と協力する機会となります。
これらの専門的な知識を有するスペシャリストのニーズは世界中の企業が対象となります。
以上が簡単ではありますがOSCPに関する説明とさせていただきます。
まとめ
いかがでしたでしょうか? GPENについて説明させていただきましたので、 参考にしていただけましたら幸いです。