O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

2

Compartilhar

ホワイトハッカー養成講座(1) ~ホワイトハッカーとは~

ホワイトハッカーとは、高度な技術や知識を持ち、セキュリティ対策を施したり 、サイバー攻撃を防ぐ活動を行う、セキュリティのスペシャリストです。ホワイトハッカーの資格についても記載しています。ぜひご一読ください!

ホワイトハッカー養成講座(1) ~ホワイトハッカーとは~

  1. 1. ホワイトハッカー育成講座 ① ~ホワイトハッカーとは~ 2019年9月18日 株式会社テリロジー コンサルティング&ソリューション技術統括部
  2. 2. 目次 1. ホワイトハッカーとは 2. ホワイトハッカーになるために 1. プログラムの知識 2. セキュリティの知識  攻撃環境と使用ツール  侵入経路の予測 3. 資格のご紹介 • CEH (Certified Ethical Hacker) • GIAC (Global Information Assurance Certification) • OSCP (Offensive Security Certified Professional) 2
  3. 3. 1. ホワイトハッカーとは 3
  4. 4. ホワイトハッカー とは ホワイトハッカーとは  悪意あるハッカーより先に脆弱性を発見するなど、高度な技術や 知識を持ち、セキュリティ対策を施したり、サイバー攻撃を防ぐ 活動を行う、セキュリティのスペシャリスト 需要について  現在多くのIT人材が不足しているが、特にセキュリティに関しての 知識を持つ人材は少なく、需要は高まっている  国の機関が、他国からくるサイバー攻撃の防御や分析などの業務を 行うホワイトハッカーを募集している 4
  5. 5. 2. ホワイトハッカーになるために 5
  6. 6. 必要な知識  ホワイトハッカーとして活躍するために必要な知識は 2種類に分けることができる  プログラムの知識  プログラムの脆弱性をいち早く発見する  セキュリティの知識  攻撃者や攻撃ツールを理解し、より効果的な対策を実践する 6 プログラミング言語の理解や安全な処理コードを 書けるようにする必要がある 攻撃ツールや攻撃集団の動向を知っておく必要が ある
  7. 7. プログラムの知識  攻撃方法を知り、攻撃を防ぐスキルを身に着ける  例)  UNIX系OSの知識  システム系のサーバOSはUNIX系が使われていることが多い  汎用システムで使われている言語の習得  WebAppやWebページ:Java, JavaScript, Perl, PHP  ソフトウェア、ロボットの開発:C言語  組み込みApp:C言語 など 7
  8. 8. セキュリティの 知識 • 悪意ある攻撃を防ぐために攻撃者を分析することが重要 • 3つの観点から攻撃者を分析する 1. 攻撃を受ける可能性のある環境の予測 社会情勢などをふまえ、狙われそうな環境からセキュリティ を固める 2. 攻撃に使用されているツールの調査 攻撃に使えそうなツールを調査し、防御策を考える 3. 侵入経路の予測 攻撃者の侵入経路を予測し、効率的に防ぐ 8
  9. 9. 攻撃環境と使用 ツール 1. 攻撃を受ける可能性のある環境の予測 • 大規模なイベントなど • 昨年のオリンピックでは、オリンピック開催地の名前が付く企業は 攻撃されやすい傾向があった 例)東京○○株式会社 など 2. 攻撃に使用されているツールの調査  実際にサイバー攻撃が可能なペネトレーションテストツールや、 一般に公開されている情報から機密情報や個人情報などを収集する OSINTツールなどが使用されている ツールの例) ・ペネトレーションテストツール:Metasploit など ・OSINTツール:Creepy、Recon-NG など 9
  10. 10. 侵入経路の予測 3. 侵入経路の予測 • 遠隔でネットワークやシステムに侵入するための手段 脆弱性攻撃 古いバージョンのソフトウェアのセキュリティ上の欠陥を 利用して侵入するなど 標的型攻撃メール 関係者を装ったメールからマルウェアを侵入させ、内部の ネットワークに侵入するなど 設定不備などを利用した攻撃 公開しているつもりでないが公開されていた、外部に公開 されている機密情報をもとに侵入するなど 10
  11. 11. まとめ  ホワイトハッカーとは  攻撃を防ぐためにプログラムの知識を使うハッカー  需要は年々高まってきている!  求められる知識 プログラムの知識: プログラミング言語を習得し、脆弱性を早く発見する セキュリティの知識: 攻撃者や攻撃ツールを分析し、防御策を考える 11
  12. 12. 3. 資格のご紹介 12
  13. 13. 資格  ホワイトハッカーとして活動するために必要な資格はない  しかし、資格が評価の基準になっているケースが多い  主に3つの資格がある 13 高 低 • CEH(Certified Ethical Hacker) • GIAC(Global Information Assurance Certification) • OSCP(Offensive Security Certified Professional) 知名度の高さ
  14. 14. CEH (Certified Ethical Hacker) 14  主催: EC-Council  特徴:  多くのホワイトハッカーの募集条件になっている資格  インストラクター主導のトレーニング、ビデオ講義などが利用できる  組織単位でEC-Councilのトレーナーと契約するオプションがある  講義ベースであり、実習形式のトレーニングが少ない  試験を受講するためにはトレーニングコースの受講が必須ですが、一部免 除される場合もある ※試験の詳細は下記サイトをご参照ください 参考サイト:「EC-Councilセキュリティエンジニア養成講座」 https://www.gsx.co.jp/academy/ceh.html
  15. 15. GIAC (Global Information Assurance Certification) 15  主催: SANS Institute  特徴:  GIACの資格は産業セキュリティやペネトレーションテストなどの 6つの分野に分かれており、計30種類以上の認定資格がある • なかでも、GPEN( GIAC Certified Penetration Tester )が実習と講義の バランスが取れた学習コースになっている  すべての認定資格が、特定のベンダーの技術や製品に依存しない ベンダーニュートラルの資格 ※試験の詳細は下記サイトをご参照ください 参考サイト:「Get Certified: How To Certify」 https://www.giac.org/certifications/get-certified/steps
  16. 16. OSCP (Offensive Security Certified Professional) 16  主催: Offensive Security  特徴:  知名度は一番低いが難易度は最も高く、トレーニングコースはすべて実習 形式  事前にネットワークプロトコル、ソフトウェア開発、Kali Linuxなどの技術 的な知識の理解が必要  試験は仮想ネットワークで実施され、試験用のネットワークの管理アクセ スを取得し、レポートを提出しなければならない ※試験の詳細は下記サイトをご参照ください 参考サイト:「Offensive Security Certified Professional (OSCP) Overview」 https://www.offensive-security.com/information-security-certifications/oscp-offensive-security- certified-professional/
  17. 17. • テリロジー「半公式」エンジニアブログ(仮) - https://terilogy-tech.hatenablog.com/ 17
  • ak_y0810

    Aug. 14, 2020
  • YukiKikuya

    Feb. 4, 2020

ホワイトハッカーとは、高度な技術や知識を持ち、セキュリティ対策を施したり 、サイバー攻撃を防ぐ活動を行う、セキュリティのスペシャリストです。ホワイトハッカーの資格についても記載しています。ぜひご一読ください!

Vistos

Vistos totais

1.442

No Slideshare

0

De incorporações

0

Número de incorporações

118

Ações

Baixados

1

Compartilhados

0

Comentários

0

Curtir

2

×