数年前に情報処理安全確保支援士の資格を取得し、その後も資格維持のための研修は受講している。けれども、手を動かしていないのでセキュリティに関する知識向上に不足があるという不安があった。そこで実際に手を動かすべく、1年くらい前からTryHackMe(以下THM)というサイバーセキュリティトレーニングサービスをやっている。1年たって、12,000 points以上を獲得してレベル10([0xA][WIZARD])になったので続報として感想を書いておく。
1年前に書いた記事はこちら
前提
自分のセキュリティに関するスキルはこんなもの
- 情報処理安全確保支援士
- 以前にCTFを勉強していたことはある
- 書籍「セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方」を読んで、オンラインの過去問題を解いたりしていた
- SOCで働いているわけではない(というかセキュリティ対応サービスの仕事はしていない)
THMを1年継続した感想
ある程度のペネトレーションスキルを獲得できたと思う。簡単な脆弱性が組み込まれた「やられ環境」であれば自力で攻略することができるようになった*1。中級レベルになると独力で攻略できないこともあるが、先人が書いた攻略レポート(WriteUp)をちょっとだけ覗き見してヒントを得ればその先は自力で進める事もできる。
- THMには学習用の「ウォークスルー」というコンテンツと、訓練・トレーニング用の「チャレンジ」というコンテンツがあるのだけれども、75個のウォークスルーと、19個のチャレンジを完了
- 無課金だと1日に1時間しか攻略(実際のマシンを使ったアタック)が出来ない。が、仕事や家庭の事情でそもそも1日に何時間もTHMに時間投資できるわけではないので大きな問題はなく、課金していない
- もちろん1時間で攻略できない場合もある(時間切れになる)のだけれども、その場合は翌日にやりなおしている(翌日には、もちろんはじめから攻撃手順をくり返さなければいけないのだが、その手間は受け入れている)
- 攻略(攻撃)にはローカルマシンが必要となるが、これも当初はTHMが提供するAttackBox(ブラウザベースでアクセスできる仮想マシン)を利用していた。必要なツールは導入されているので特に問題があるわけではない。ただ、AttackBoxも無課金だと1日に1時間しか利用できないので予習や復習が出来ない*2という不満があり、THM初めて4カ月後には安価なWindowsベースのミニPCを購入し、WSLでKali Linuxを導入して利用している。購入したのは以下の旧モデル(N100ベース、だいたい値段は一緒)だが、私のような勉強用途なら十分なスペックだ。在宅勤務用にモニタやキーボード等はあったのでこれを流用した。
- ローカルにマシンがあれば、いろいろコマンドの予習もできる。
- 自習用にOWASP Juice Shopというやられ環境をローカルに導入して時々やっている。導入が簡単で便利。
- juice-shop | Kali Linux Tools
これから始める人へのアドバイス
これから始めるのであれば以下の書籍を読むのが良いだろう(私が始めたころには出版されていなかった)。
- 紹介されているコンテンツは全部THMの無料枠なので、無課金でいける
- 書籍はローカルマシンを用意することを推奨しているようだけど、本書のラインナップだったらTHMのAttackBoxでも十分に闘える
なにより日本語の説明があるので、雰囲気をつかむという意味でもここから入門するのが良いと思う(特に はじめての頃は何から始めていいのか迷いがちなので。ネットで検索しまくらなくてもわかるというのは偉大だと思う)
