映画やドラマの世界ではホワイトハッカーが犯人を見つけ懲らしめるシーンが描かれていますが、捜査や逮捕は警察の仕事でホワイトハッカーが行うのは悪意ある攻撃に対する防御です。ではホワイトハッカーとは具体的にどのような仕事なのでしょうか?
ホワイトハッカーはコンピューターやネットワークに関する高度な知識や技術を有し、主にハッカーによる侵入や攻撃に対する防御を行っています。ITの浸透やインターネットの普及により、政府組織や民間事業者を狙ったサイバー攻撃・不正アクセスの数は増加し続けています。
こうしたサイバー攻撃や不正アクセスに対する防衛・セキュリティ対策などの仕事に就く人材をホワイトハッカーと呼びます。ホワイトハッカーは「サイバー攻撃」や「ハッキング」などを防ぎ、迅速に問題解決を図れる能力やスキルを有しています。また社会的ニーズが増しているITエンジニア職種の1つでもあります。
セキュリティエンジニアは、サーバー関連の業務や情報セキュリティを主に担当するエンジニアを指します。 ITインフラの中で、サーバー構築や運用、保守などを担当し、セキュリティを十分に考慮したシステムの設計・運用、あるいは外部からの侵入や攻撃を防ぐための調査・対策などを行います。
一方、ホワイトハッカーは既に構築されたサーバーやネットワークに対するハッカーやクラッカーからの攻撃を防ぐ仕事が中心ですが、両者の仕事には重なる部分が少なくありません。
ホワイトハッカーの主な仕事は「コンピュータやネットワークの監視」・「セキュリティ対策の実施」・「サイバー攻撃発生時の防御」の3つです。それぞれについて以下で紹介していきます。
悪意あるハッカーたちは企業のネットワークに侵入し、サーバに対して攻撃を行います。攻撃の目的は「サーバーをダウンさせること」や「貴重な情報を盗むこと」などさまざまです。
また金銭目的の場合もあれば、自分たちの技術を誇示する目的で行う場合もあります。ホワイトハッカーはこうした動きを監視し、発見する役割を担っています。
ホワイトハッカーは企業や組織の業務システム・WEBサイトなどの脆弱性を診断し、脆弱性の改修を行います。診断には「ツールを用いる診断」と「人的診断」の2つがあります。この両面からセキュリティ・ホールを発見し対策を施しているのです。
監視システムを用いてサーバやネットワークの監視を行います。そして攻撃により監視システムが突破されネットワークやサーバがダウンした際に、攻撃元の解明や攻撃に利用されているネットワークの遮断・サーバの強制停止などを行います。
事態が収束したら攻撃を招いたセキュリティ・ホールの特定や具体的な対策の立案・対策を実施するのもホワイトハッカーの大切な仕事です。
ブラックハッカーからのサイバー攻撃に対応するためホワイトハッカーにはさまざまな知識やスキルが求められます。では具体的にどのようなものが必要となるのでしょうか。
ホワイトハッカーに求められる知識やスキルについて代表的なものをいくつか紹介します。
・IT全般に関する知識やスキル
ブラックハッカーからのサイバー攻撃に対応しなければならないため、ネットワークやサーバ・プログラミングに関する知識など専門性の高い知識やスキルが求められます。
・セキュリティに関する知識やスキル
ホワイトハッカーはセキュリティ・ホールを見つけ出し、対策を施すことが求められます。従ってセキュリティに関する深い知識・専門知識が求められます。
・IT関連の法律知識
サイバー攻撃は詐欺・盗難・スパイ行為・改ざん・業務妨害などさまざまな犯罪に利用されることが想定されます。そのためこれらに関係する法律や処罰法等の知識が必要です。
ホワイトハッカーは資格がなければ就くことができない職業ではありません。ですが取得することでホワイトハッカーとしてのスキルアップやキャリアアップが狙える資格があります。それが「認定ホワイトハッカー(CEH)」と呼ばれる資格です。
「認定ホワイトハッカー(CEH)」とは国際資格として認められている「EC-Council」が認定しているサイバーセキュリティ資格の一つです。
「認定ホワイトハッカー(CEH)」取得に向け勉強することで「スキャニング方法」・「脆弱性評価方法」・「攻撃に対する防御策」などホワイトハッカーとして必要な知識やスキルを身につけることができます。
資格がなくてもなれるホワイトハッカーですが「認定ホワイトハッカー(CEH)」を取得することでどのようなメリットがあるのでしょうか。具体的には次の2点が挙げられます。「客観的なスキルの証明」と「収入アップ」です。
「認定ホワイトハッカー(CEH)」の資格を得ることで自身の知識やスキルの高さ・その専門性を客観的にアピールすることができます。これにより周囲からの信頼も得やすくなります。また資格を取得することで在籍企業での収入アップや好待遇な求人への応募が可能になることなどが期待できます。
「認定ホワイトハッカー(CEH)」試験合格にはネットワークやOSに始まり各種ツールの使い方やハッキング方法まで幅広い知識を満遍なく、基礎からしっかり身につけることが大切です。独学の場合は問題集や過去問を何度も解き、苦手分野をなくすようにしましょう。
独学に不安のある場合はホワイトハッカーコースのある専門学校や情報工学部のある大学への入学がおすすめです。
「認定ホワイトハッカー(CEH)」資格試験を受験するためには「2年以上の情報セキュリティ経験」または「公式トレーニングの修了」が必要となります。また受験資格の認定には審査と審査料が必要です。
日本語の公式トレーニングを受講する場合はGSX社の「CEHコース」がおすすめです。
【参考】:CEHプログラム
【参考】:CEH受講概要
「認定ホワイトハッカー(CEH)」の試験形式は「CBT方式」で「出題形式:選択式」・「問題数:125問」・「試験時間:4時間」です。また合格基準は「70%以上」となっています。
【参考】:試験詳細
「認定ホワイトハッカー(CEH)」は試験合格による資格取得がゴールではありません。「認定ホワイトハッカー(CEH)」としての認定を維持するためには「年会費80ドルの支払い」と「3年間での120ECEクレジットの取得」が必要です。
120ECEクレジットは各種試験への合格や教育セミナー・カンファレンス・イベント等への参加などさまざまな方法で取得することができます。さらに具体的なECEクレジットの取得方法についてはASPENのポータルサイトをご覧ください。
【参考】:ASPEN(ログインが必要です)
「認定ホワイトハッカー(CEH)」以外にもホワイトハッカーとしてのスキルアップ等が期待できる資格や試験として「情報セキュリティマネジメント試験」や「情報処理安全確保支援士」・「シスコ技術者認定」などがあります。
【参考】:情報セキュリティマネジメント試験
【参考:】情報処理安全確保支援士
【参考】:シスコ技術者認定
ここでは気になるホワイトハッカーの年収や将来性について紹介していきます。
ホワイトハッカーの年収はどのくらいなのでしょうか。求人サイトを参照すると500万〜1,000万円であることが多いようです。年収は在籍する企業や実務経験・持っているスキル等により異なり、1000万円以上を目指すこともできます。
国税庁が実施した「平成30年分民間給与実態統計調査結果」によると全職種の平均給与が441万円のため、ホワイトハッカーの年収は高い方であると言えるでしょう。
【参考】:セキュリティエンジニア求人
【参考】:平成30年分民間給与実態統計調査結果
経済産業省の公開している資料によると、今後IT人材が不足していくと予測されています。加えてサイバー攻撃や情報漏洩などのセキュリティリスクは増加傾向にあります。これらに対応し問題を解決できるホワイトハッカー(セキュリティエンジニア)の需要は今後も高まっていくと言えるでしょう。
【参考】:経済産業省 商務情報政策局 情報処理振興課 IT分野について
ホワイトハッカーを含むセキュリティに携わるエンジニアの求人はどの程度あるのでしょうか。セキュリティエンジニアの求人が数十件であることに加えて、セキュリティに関わるエンジニアの求人は1,000件を超えています。
今後IT人材やセキュリティエンジニアの需要の高まりに比例してホワイトハッカーの需要も高まっていくと考えられるため求人の数も増えていくでしょう。
【参考】:セキュリティエンジニア求人
【参考】:エンジニア・セキュリティの求人
ホワイトハッカーとはサイバー攻撃や不正アクセスなどに対する防衛やセキュリティ対策等を行うエンジニアのことです。ホワイトハッカーにはネットワークやOSに始まり各種ツールの使い方やハッキング方法まで幅広い知識やスキルが求められます。
ホワイトハッカーとして仕事をしていく上で有用な資格の一つが「認定ホワイトハッカー(CEH)」です。国際資格として認められている「認定ホワイトハッカー(CEH)」を取得することは自身の能力を客観的に証明することに繋がります。また自身のスキルアップやキャリアアップを期待することもできるでしょう。
アンドエンジニアへの取材依頼、情報提供などはこちらから
アンドエンジニアへの取材依頼、情報提供などはこちらから