エシカルハッキングの種類
エシカルハッキングは、大量の機密データを扱う業界で特によく使われている。たとえば機密性の高い金融情報を保持している金融業界や、患者のデータを保管している医療機関だ。テクノロジー業界も、自社製品を最大限安全にするために広く活用している。さらに、知識不足などによる弱いパスワード、システムやデバイスの更新の怠慢、効果的なセキュリティトレーニングの欠如をはじめ、ハッカーに対してリスクを高めてしまう行為、組織内の業務手順や決まりごとにおける弱点もチェックする。
実際にエシカルハッキングが功を奏した事例としては、2019年にPositive Technologiesのチームが、Visaのコンタクトレスカードに存在する、支払い限度額を回避可能な脆弱性を発見した例が挙げられる。
ペネトレーションテスト(侵入テスト)
エシカルハッキングのひとつである「ペネトレーションテスト」(侵入テスト)は、組織のシステムやネットワーク、アプリケーションへの侵入に特化したものだ。たとえば、ウェブサイトに悪意あるコードを挿入するものや、過剰なトラフィックでシステムを高負荷にしてサービスのダウンを引き起こすもの、ふたつのデバイス間の通信を傍受して機密情報を盗む「中間者攻撃(Man-in-the-Middle attack)」などがここに含まれる。
システムハッキング
「システムハッキング」と呼ばれる攻撃では、特定システムへの侵入を対象とし、商用の専門ツールを使う場合が多い。ここで用いる手法には、パスワードの解読、データ漏洩後に流出したユーザー名とパスワードのデータベースからの取得、システムのぜい弱性の利用、マルウェアのインストールなどが含まれる。
インターナルテスティング(内部テスト)
「インターナルテスティング(内部テスト)」と呼ばれる取り組みでは、組織内の人員やプロセスに起因するぜい弱性を探る。ここには、ぜい弱なパスワードの特定、システムやデバイスの更新漏れの発見、従業員がフィッシング詐欺などの犠牲になっていないか、セキュリティに関するトレーニングの欠如などが含まれる。
ウェブアプリケーションテスト、ネットワークハッキング
ウェブサイトやサービスの公開前に問題を見つけることを目的した「ウェブアプリケーションテスト」や、ネットワークセキュリティの脆弱性をスキャンして、脆弱なサービスやプロトコルの欠陥などを探す「ネットワークハッキング」もエシカルハッカーの業務だ。
エシカルハッカーになるためのルート
適切なスキルを持つ者なら、テック企業が運営するバグ報奨金プログラムに参加することで、エシカルハッカーとして活動を始められる。大手ウェブサービスや著名ソフトで深刻な欠陥を発見したエシカルハッカーには、数百万ドルもの大金を得た者もいる。また、この分野の資格や認定制度も存在する。代表的なものとしては、「Certified Ethical Hacker(CEH)」や「Offensive Security Certified Professional(OSCP)」、「CompTIA Cybersecurity Analyst(CySA+)」などが挙げられる。
テクノロジー業界では、さまざまな経歴を持つ人がエシカルハッカーとして活動しており、かつては悪意あるハッカーだった者が、この分野に転身したケースも存在する。より一般的には、コンピューターサイエンスや関連分野の学位を持ち、セキュリティ業界で経験を積んだ者が、この分野を目指すという例が多い。


