こどもITラボ No.2|セキュリティ

ハッカーって本当は何する人?

映画やドラマだと、フードを被って真っ暗な部屋で素早くキーを叩く謎の人物として描かれる「ハッカー」。実は、ハッカーには企業に守られる「ホワイトハッカー」もいて、IT業界では人気の職業です。この記事では、ハッカーの本来の意味・3種類の分類・実際の仕事を、図解で解説します。

そもそもハッカーとは?

「ハッカー」とは、もともと「コンピュータの仕組みを深く理解して、自由にいじれる人」を指す言葉です。決して「悪い人」ではありませんでした。1960年代のMIT(マサチューセッツ工科大学)の学生たちが、機械を改造して新しい使い方を見つける文化を「ハック」と呼んでいたのが起源です。

ところが、1980年代以降、コンピュータに不正侵入する事件が増えるにつれ、世間では「ハッカー=悪者」のイメージが強まりました。本来の意味は今でも生きていて、IT業界では褒め言葉として使われることもあります。悪い意味で使うときは「クラッカー」と呼び分ける流派もあります。

3種類のハッカー

セキュリティの世界では、ハッカーを「帽子の色」で3種類に分けます。映画でも見たことがあるかもしれません。

3種類のハッカー:許可・目的・法律で見分ける 「同じことをしても、許可があるか/何のためか」で扱いが正反対になる 区別ポイント ○ ホワイト △ グレー × ブラック 許可 所有者から事前同意 ○ 契約書あり 範囲・期間を明示 △ 黙認 or なし 事後に報告する型 × 完全に無許可 もしくは隠蔽 目的 何のために侵入するか 弱点を見つけて報告 → 企業の防御を強化 問題提起・自己満足 悪意は無いが微妙 情報窃取・金銭目的 破壊・脅迫 日本の法律 不正アクセス禁止法 ○ 合法(給与あり) セキュリティエンジニア △ 違法の可能性 起訴される例も多い × 違法(懲役) 最長3年または罰金 具体例 代表的な活動 CTF・脆弱性診断 バグ報奨金プログラム 無許可で穴を発見 → 後から運営に通報 SNS乗っ取り ランサムウェア攻撃 職業として 合法な働き方 ○ 高給職種 800〜2,000万円 職業ではない 趣味や活動家 職業ではなく犯罪 逮捕・前科の対象 ▶ 同じスキルを持っていても、「許可」と「目的」が違うだけで、職業 or 犯罪に分かれる
図1:3種類のハッカーの違い。技術自体に善悪はなく、「許可」と「目的」で扱いが正反対になる

ホワイトハッカーの仕事

ホワイトハッカーは正式には「セキュリティエンジニア」「ペネトレーションテスター」と呼ばれ、企業や役所に雇われて働きます。実際の仕事は地味で、コードを読み、サーバーの設定を調べ、レポートを書く時間がほとんど。映画のような派手な打鍵シーンは現実にはほぼありません。

大切なのは「許可を得て調べる」ことです。ホワイトハッカーは、調査範囲、期間、使ってよい方法、報告先を事前に決めてから作業します。たとえば「このテスト用サイトだけ調べてよい」「本番データには触らない」「攻撃が強すぎる方法は使わない」といったルールがあります。技術力だけでなく、約束を守る力が求められます。

ホワイトハッカーの主な仕事と必要スキル 「映画のような派手なシーン」より、地味な調査・報告書作成が大半 仕事 何をするか 必要スキル 時間配分 脆弱性診断 Webアプリのチェック SQL注入・XSS等の弱点を網羅的にテスト ツール(Burp Suite)+手動で確認 Web技術+HTTP 30% ペネトレーションテスト 本番想定の侵入試験 「実際に攻撃者になったつもりで」侵入 範囲・方法を契約で決める ネットワーク+OS 20% レポート作成 発見を文章にまとめる どこに穴があり、どうすれば直せるかを書く 経営層にも伝わる文章力 日本語+英語 25% インシデント対応 攻撃発生時の調査 ログから「何が・いつ・どこから」を特定 深夜・休日対応もある ログ解析+冷静さ 10% 教育・研修 社員に対するセキュリティ教育 「フィッシングの見分け方」等を社員に説明 技術より説明力が大事 プレゼン+分かりやすさ 15% ▶ 「攻撃する時間」は20%程度。残り80%はレポート・教育・地道な調査 技術力だけでなく、文章を書く力・人に説明する力もホワイトハッカーには必須
図2:ホワイトハッカーの仕事内容と時間配分。「攻撃」より「報告と教育」のほうが多いのが現実

気をつけたい落とし穴

やってはいけない3つ
  • 「自分の技術を試すために」他人のサイトに不正侵入する。日本では「不正アクセス禁止法」違反で逮捕
  • 友達のアカウントに勝手にログインする。たとえ同じ家のWi-Fiでも違法
  • SNSで見つけた「○○をハッキングする方法」をまねして実行する。相手の許可がなければ危険

技術を試したいなら「CTF(Capture The Flag)」というセキュリティ競技の場が用意されています。練習用の問題を解く形式なので、他人のサイトやアカウントを傷つけずに学べます。学校のPCや家庭のネットワークで試す場合も、管理している人の許可を取ってからにしましょう。

中高生が学ぶなら何から?

最初に学ぶべきなのは、攻撃テクニックではなく基礎です。Linuxのコマンド、ネットワークのIPアドレスやDNS、WebのHTMLとHTTP、パスワード管理、ログの読み方。この土台があると、セキュリティの説明が「暗記」ではなく「仕組み」として理解できます。

プログラミングでは、PythonやJavaScriptを少し触れると便利です。脆弱性を見つけるだけでなく、ログを整理したり、同じ確認を自動化したりできます。英語も役に立ちます。セキュリティ情報は英語で公開されることが多いため、エラーメッセージや公式ドキュメントを読む練習がそのまま力になります。

将来どう役立つ?

ホワイトハッカーやセキュリティエンジニアは、企業の情報を守る専門職です。技術面ではプログラミング・ネットワーク・OSの幅広い知識が要りますが、出発点は「コンピュータの仕組みを楽しむ姿勢」です。CTFやセキュリティキャンプなど、若い人が参加できる学習の場もあります。応募条件や開催内容は毎年変わるため、公式情報を確認しましょう。

今日からできること

3ステップで合法的に腕試し
  1. 「TryHackMe」「Hack The Box」など合法的に学べるサイトに登録
  2. 初級コース(Linuxコマンド、Webセキュリティ)を1問ずつ解いていく
  3. 毎年8月に開かれる「セキュリティキャンプ」(22歳以下対象、日本政府主催)の応募を検討する

まとめ

ハッカーは本来「コンピュータを深く理解した人」のこと。悪意のある人(ブラックハッカー)と、企業を守る人(ホワイトハッカー)に分かれます。技術自体に善悪はなく、許可を得て正しく使う姿勢が大切です。セキュリティに興味があるなら、CTFのような合法な練習環境から始めましょう。

関連記事

前の記事セキュリティとは? 関連ホワイトハッカーとは? 関連セキュリティエンジニアになるには 関連サイバー攻撃の仕組み入門
← こどもITラボ一覧へ