「Python」だけじゃなく「JavaScript」「Go」「Ruby」を学ぶべき理由ペネトレーションテストのためのPython【後編】

「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。

2022年02月09日 05時00分 公開
[Kyle JohnsonTechTarget]

関連キーワード

プログラミング | セキュリティ


 実際にシステムに侵入して脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」(侵入テストとも)。ペネトレーションテストへのプログラミング言語「Python」活用を解説した書籍『Black Hat Python, 2nd Edition: Python Programming for Hackers and Pentesters』の著者であるジャスティン・サイツ氏とティム・アーノルド氏は、Pythonの有用性を主張する。両氏からのアドバイスをインタビュー形式で紹介しよう。

初心者が「JavaScript」「Go」「Ruby」を学ぶべき理由は?

―― Python以外に初心者が学習すべきコンピュータ言語はありますか。

会員登録(無料)が必要です

アーノルド氏 「JavaScript」はWebアプリケーションのテストでよく遭遇するスクリプト言語(簡易型プログラミング言語)なので、JavaScriptの知識があると重宝する。JavaScriptを学習するか、少なくともJavaScriptを読めるようになれば、問題点が分かるようになるはずだ。汎用(はんよう)的なプログラムの開発にはPython、Webアプリケーション開発にはJavaScriptを使用するとよい。

 「Go」もお薦めだ。Goプログラムのソースコードをコンパイルすると、どのシステムでも実行可能なファイルを生成する。一方Pythonは、プログラムを実行するための実行環境をシステムにインストールしなければならない。

サイツ氏 ペネトレーションツール「Metasploit」のソースコードを抜粋してカスタマイズしようとしたときは、プログラミング言語「Ruby」の知識がなかったため少なからぬ苦戦を強いられた。Goを開発言語として採用するツールも増えてきた。とはいえペネトレーションテストと情報収集に関して、Pythonほど汎用性の高いプログラミング言語はない。

―― ペネトレーションテストまたはPythonの学習を継続するためのアドバイスをお願いします。

サイツ氏 練習を重ねること、セキュリティの競技大会「CTF」(Capture The Flag)に参加すること、リバースエンジニアリングやオンラインのセキュリティトレーニング教材「Hack The Box」に取り組むことだ。これらはどれもスキルを磨くのに役立つ。

―― お薦めのペネトレーションテスト用ツールはありますか。

サイツ氏 ペネトレーションテストで最も重要なのは、ツールではなくネットワークとOSに関する知識だ。「Windows」「Linux」といったOSでタスクが機能する仕組み、ネットワークにおけるデータの移動やフィルタリングの仕組みに関する基礎知識があれば、どのテストツールであっても使い方を理解できるだろう。

 テストツールの学習から始める人は少なくない。だが、そうした人は実際に問題が発生するまで、問題が発生する理由を学びにくい。問題に遭遇した時点で、ようやく重要な知識を学ぶことになる。面白みのない難解な知識の習得から始めることは、つまらなくてもやはり重要だ。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド Keeper Security APAC株式会社

調査から見えた、特権アクセス管理(PAM)の重要性と効果的な運用方法

クレデンシャル情報を悪用する攻撃から組織を防衛するために、特権アクセス管理(PAM)は不可欠だ。その導入で成果を挙げている組織と、そうではない組織との違いはどこにあるのだろうか。グローバル調査の結果から読み解く。

市場調査・トレンド Keeper Security APAC株式会社

パスワードでは対抗できない? 高度化する脅威に対応するための認証戦略とは

従来、認証にはパスワードが用いられてきたが、フィッシングなどの高度な攻撃に対抗するのは難しくなりつつある。そこで注目されているのが利便性と安全性を兼ね備えたパスキーだ。本資料では、その移行戦略について詳しく解説する。

製品資料 株式会社エーアイセキュリティラボ

生成AI時代も欠かせないWebアプリの脆弱性対策、手間をかけずに行う方法とは?

Webアプリケーション開発において生成AIを活用する上で、欠かせないのがセキュリティ対策だ。しかし、AIを悪用する高度な攻撃にだけ注力し、既存の脆弱性への対策をおろそかにしているケースは多い。この問題を解決するには、何が必要か。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

インシデント対応の自動化率はわずか16%、調査で見えた停滞の原因と解決策とは

AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...