「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。
実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)。ペネトレーションテストへのプログラミング言語「Python」活用を解説した書籍『Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters』の著者であるジャスティン・サイツ氏とティム・アーノルド氏は、Pythonの有用性を主張する。両氏からのアドバイスをインタビュー形式で紹介しよう。
―― Python以外に初心者が学習すべきコンピュータ言語はありますか。
アーノルド氏 「JavaScript」はWebアプリケーションのテストでよく遭遇するスクリプト言語(簡易型プログラミング言語)なので、JavaScriptの知識があると重宝する。JavaScriptを学習するか、少なくともJavaScriptを読めるようになれば、問題点が分かるようになるはずだ。汎用(はんよう)的なプログラムの開発にはPython、Webアプリケーション開発にはJavaScriptを使用するとよい。
「Go」もお薦めだ。Goプログラムのソースコードをコンパイルすると、どのシステムでも実行可能なファイルを生成する。一方Pythonは、プログラムを実行するための実行環境をシステムにインストールしなければならない。
サイツ氏 ペネトレーションツール「Metasploit」のソースコードを抜粋してカスタマイズしようとしたときは、プログラミング言語「Ruby」の知識がなかったため少なからぬ苦戦を強いられた。Goを開発言語として採用するツールも増えてきた。とはいえペネトレーションテストと情報収集に関して、Pythonほど汎用性の高いプログラミング言語はない。
―― ペネトレーションテストまたはPythonの学習を継続するためのアドバイスをお願いします。
サイツ氏 練習を重ねること、セキュリティの競技大会「CTF」(Capture The Flag)に参加すること、リバースエンジニアリングやオンラインのセキュリティトレーニング教材「Hack The Box」に取り組むことだ。これらはどれもスキルを磨くのに役立つ。
―― お薦めのペネトレーションテスト用ツールはありますか。
サイツ氏 ペネトレーションテストで最も重要なのは、ツールではなくネットワークとOSに関する知識だ。「Windows」「Linux」といったOSでタスクが機能する仕組み、ネットワークにおけるデータの移動やフィルタリングの仕組みに関する基礎知識があれば、どのテストツールであっても使い方を理解できるだろう。
テストツールの学習から始める人は少なくない。だが、そうした人は実際に問題が発生するまで、問題が発生する理由を学びにくい。問題に遭遇した時点で、ようやく重要な知識を学ぶことになる。面白みのない難解な知識の習得から始めることは、つまらなくてもやはり重要だ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クレデンシャル情報を悪用する攻撃から組織を防衛するために、特権アクセス管理(PAM)は不可欠だ。その導入で成果を挙げている組織と、そうではない組織との違いはどこにあるのだろうか。グローバル調査の結果から読み解く。
従来、認証にはパスワードが用いられてきたが、フィッシングなどの高度な攻撃に対抗するのは難しくなりつつある。そこで注目されているのが利便性と安全性を兼ね備えたパスキーだ。本資料では、その移行戦略について詳しく解説する。
Webアプリケーション開発において生成AIを活用する上で、欠かせないのがセキュリティ対策だ。しかし、AIを悪用する高度な攻撃にだけ注力し、既存の脆弱性への対策をおろそかにしているケースは多い。この問題を解決するには、何が必要か。
AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。
近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。
混雑や逆光に弱いウォークスルー顔認証、高精度と高速処理をどう実現するか (2025/8/13)
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...