侵入テスト-テスター

組織の最も重要なデータを保護する問題があります。したがって、ペネトレーションテスターの役割は非常に重要であり、軽微なエラーが当事者（テスターとそのクライアント）を危険にさらす可能性があります。

したがって、この章では、資格、経験、責任など、侵入テストのさまざまな側面について説明します。

ペネトレーションテスターの資格

このテストは、資格のある侵入テスターのみが実行できます。したがって、ペネトレーションテスターの資格は非常に重要です。

資格のある内部専門家または資格のある外部専門家が組織的に独立するまで侵入テストを実行できます。 つまり、ペネトレーションテスターは、ターゲットシステムの管理から組織的に独立している必要があります。 たとえば、サードパーティ企業がターゲットシステムのインストール、メンテナンス、またはサポートに関与している場合、そのパーティは侵入テストを実行できません。

ペネトレーションテスターを呼び出す際に役立つガイドラインを次に示します。

認証

認定された人は、侵入テストを実行できます。 テスターが保持する認定は、彼のスキルセットと有能なペネトレーションテスターの能力の指標です。

以下は、侵入テスト認証の重要な例です-

• 認定倫理的ハッカー（CEH）。
• 攻撃的セキュリティ認定プロフェッショナル（OSCP）。
• CREST侵入テスト認定。
• 通信電子セキュリティグループ（CESG）ITヘルスチェックサービス認定。
• グローバル情報保証認証（GIAC）認定。たとえば、GIAC認定侵入テスト（GPEN）、GIAC Webアプリケーション侵入テスト（GWAPT）、アドバンス侵入テスト（GXPN）、およびGIAC Exploit Researcher。

過去の経験

次の質問は、効果的な侵入テスターを雇うのに役立ちます-

• ペネトレーションテスターに​​は何年の経験がありますか？
• 彼は独立した侵入テスト担当者ですか、それとも組織で働いていますか？
• いくつの会社でペネトレーションテスターとして働いていましたか？
• 彼はあなたと似たような規模と範囲を持つ組織に対して侵入テストを実施しましたか？
• ペネトレーションテスターに​​はどのような経験がありますか？ たとえば、ネットワーク層の侵入テストなどの実施
• また、彼が働いた他の顧客からの参照を求めることができます。

ペネトレーションテスターを雇用する場合、彼（テスター）が対象環境内で具体的に展開したテクノロジーに関連するため、彼（テスター）が働いた組織の過去1年間のテスト経験を評価することが重要です。

上記に加えて、複雑な状況と典型的なクライアントの要件のために、テスターの以前のプロジェクトで同様の環境を処理する能力を評価することをお勧めします。

ペネトレーションテスターの役割

侵入テスターに​​は次の役割があります-

• ツールとテクノロジーの非効率的な割り当てを特定します。
• 内部セキュリティシステム全体のテスト。
• 最も重要なデータを保護するために露出を特定します。
• インフラストラクチャ全体の脆弱性とリスクに関する貴重な知識を発見してください。
• 最大のセキュリティギャップを保護しながら、セキュリティチームが最も効果的な方法で時間を活用できるように、修復の推奨事項を報告および優先順位付けします。