倫理的ハッカーとは?

倫理的ハッカーは、「善意のハッカー」としても知られていますが、コンピューターやネットワークに合法的に侵入して、組織の全体的なセキュリティをテストするために採用されます。倫理的ハッカーは、サイバー犯罪者が持つすべてのスキルを持っていますが、その知識を、組織をエクスプロイトして損害を与えるためではなく、組織を改善するために活用します。

倫理的ハッカーを採用すると組織は自社のセキュリティの脆弱性に関するインサイトを得られるので、将来のサイバー攻撃から組織を保護することができます。

倫理的ハッキングとペネトレーションテスト

倫理的ハッキングはペネトレーションテストと同じ意味で使われることもありますが、いくつかの重要な違いがあります。

倫理的ハッカーは、ペネトレーションテストを超えたタクティクスに関与する場合があります。例えば彼らは、従業員に機密性の高いビジネスデータやログイン認証情報の開示を促してソーシャルエンジニアリング手法に対する防御をテストすることもできます。

一方、ペネトレーションテストは、組織が有している可能性のある1つまたはいくつかのネットワークの脆弱性を評価することのみに焦点を当てています。

倫理的ハッカーの収入は?

Salary.comによると、倫理的ハッカーの平均給与は、2023年6月26日時点で105,973ドルです。給与は、経験、認定レベル、追加のスキルに応じて、95,137ドルから119,413ドルの間で変動します。

倫理的ハッカーになるには?

悪意のハッカーが善意のハッカーに転向したという贖罪的な話も確かにありますが、常にそうだというわけではありません。正しい知識とスキルセットを持っている人は、特に高い倫理基準を守る気持ちがあれば、だれでも倫理的ハッカーになることができます。

クラウドストライクは、Indeedに900件以上の求人広告のレビューを依頼し、倫理的ハッキングの役割に関して雇用主が何を求めているかを調べました。以下に、倫理的ハッカーとして雇用されるために最も需要の高いスキル、認定資格、教育レベルを解説します。

Research showing if you need a degree to become an ethical hacker and the most popular subjects

応募者は学士号以上の学位を取得していると、他の候補者との差別化を図り、規律、批判的思考、優れた時間管理能力、決断力など、雇用主が求める重要な資質をアピールすることができます。また、当社の分析によると、倫理的なハッキング職の求人広告の73%は、応募者に学位を求めていました。

倫理的なハッキングの仕事を探す際に最も一般的な方法の一つは、コンピューターサイエンスの学位を取得することです。しかし、当社の分析によると、学位に言及している求人広告のうち、コンピューターサイエンスの学位にも言及しているのはわずか25.9%です。ただし、コンピューターサイエンスが最も求められる学位であることに変わりはありません。

学位について言及していない求人広告もたくさんありますが、それはつまり、雇用主は応募者の学歴よりも知識や過去の経験に興味を持っていることを意味しています。適切なコンピュータースキルの知識があることを証明できれば、コンピューターサイエンスの資格は重要ではありません。

以下の知識は雇用主が最も重視しているものなので、その原理については必ず高度な知識を持っている必要があります。

Research showing the most important things to learn about prior to becoming an ethical hacker

クラウドの知識は、雇用主が最も重視しているものです。クラウドコンピューティングは、現代のビジネスオペレーションを変革しています。また、クラウドベースモデルに移行する企業が増えるほど、クラウドはますます巧妙化する攻撃の標的となっていきます。したがって、すべての倫理的ハッカーは、クラウドセキュリティに関する高度な知識を持っている必要があります。

その他、学ぶべき重要事項としては、マルウェア、コンプライアンス規制/セキュリティ基準(特にPCIセキュリティ基準)、プログラミングシステム(LinuxPythonPerlなど)があります。

MetaspoiltWiresharkのようなツールは求人広告ではあまり言及されていませんが、重要なツールであり、多数の応募者の中から自分をアピールすることができます。

HTMLやJavaScriptなど、基本的な知識についてはあまり言及されていませんが、雇用主は応募者がそれらのスキルをすでに持っていると想定している可能性があります。

ハッキングや進化する技術に関する幅広い知識を証明するために取得できる特定の認定資格があります。最も頻繁に言及される認定資格には、以下のものがあります。

Research showing the most important certifications to take to become an ethical hacker

当然と言えますが、認定ホワイトハッカー (CEH) は、最も有益な専門資格であり、求人広告の77.2%で言及されています。しかし、求人広告の62.6%で言及されているCertified Information Systems Security Professional (CISSP) になるためのコースを受講することもアピールにつながります。

最後に、倫理的ハッキングの仕事に適しているかどうかを確認するには、いくつかのソフトスキルについて考えなければなりません。

Research showing the most important soft skills ethical hackers need to have

リサーチスキルは最も重要なソフトスキルです。脅威アクターは、検出を回避し、攻撃を収益化し、可能な限り広範囲に混乱を引き起こすために、そのテクニックとターゲットを絶えず進化させています。したがって、倫理的ハッカーは、クライアントや組織を保護するために、同じように自分自身をアップデートしていく必要があります。

協力する能力も重要です。倫理的ハッカーは単独で働くのではなく、社内のセキュリティ専門家や同僚と協力して、システムやネットワークを改善する方法を模索することになると考えられます。

ソフトスキルは、セキュリティやコンピューターの知識と同じくらい重要です。雇用主は、応募者がその役割に適しているかどうかを知るために、応募者の私生活について尋ねる場合があります。ですから、自分のソフトスキルを示すために、関係のある実生活の例をいくつか用意しておいてください。

最も雇用機会が多い場所は?

倫理的ハッカーは、フリーランス、代理店勤務、社内勤務の形態で雇用されます。当社の分析では、倫理的ハッキングの求人例を調べるだけでなく、米国の大都市にどれだけの雇用機会があるかを調べました。

Research showing the areas of the U.S. with the most ethical hacking opportunities

ワシントンD.C.は最も求人が多く、米国のすべての広告求人の23.6%を占めています。次いでボルチモアで、すべての求人の5.5%でした。

ただし、倫理的ハッカーは多くの場合リモートで雇用されるため、現住所はあまり関係がない可能性があることに注意することが重要です。このことはつまり、倫理的ハッカーとは、世界のどこにでも住める自由があるキャリアであることを意味します。米国の求人の13.7%がリモートワークを提案しています。