はじめに
こんにちは、情報セキュリティ部SOCブロックの大山です。普段はSOC業務、いわゆる「守る側」の業務を担当しています。攻撃者視点の理解をより深めることで、検知の質や対応手順の説得力を高めることを目的に、OffSec社が提供する「OSCP+」および「OSCP」を受講し、それぞれ資格試験に合格しました。
本記事では、同じブロックの兵藤と共同で受講から合格までの流れや学び、実務への還元ポイントをまとめて紹介します。
目次
背景・課題
SOCの業務では、日々の監視・対応・改善を着実に回すことが求められます。一方で、運用の最適化だけでは「攻撃者が次に何を狙うか」を先回りして捉えるのが難しい場面もあります。防御観点だけで事象を見ると、プロダクトやログの仕様理解に寄ってしまい、攻撃の目的や一連の手口を物語として結び直す力(攻撃者目線)の面で弱くなりがちなことが課題として存在しました。このギャップを埋めるために、攻撃側の基本動作を自分の手で実践し、検知・対応・ハードニングへと還元することを目的に、SOCブロック内の数名がOSCPおよびOSCP+を受講することになりました。なお、今回の受講費用および受験費用は会社(ZOZO)が負担してくれました。この場で感謝申し上げたいと思います、ありがとうございます!
OSCPについて
OSCP(OffSec Certified Professional)は、OffSecが提供する実技重視のペネトレーションテスト認定です。列挙・初期侵入・権限昇格・横展開・証跡化を“手順と再現性”まで含めて証明することを求められます。この一連の基礎スキルを体系的に学ぶための学習リソースとして、準備コースであるPEN-200があります。
試験形式(OSCP+)
- 受験環境:
- 受験者専用VPN内の小規模ネットワーク。
- 制限時間:
- 実技試験が23時間45分。終了後、24時間以内にレポート提出。
- 構成と得点:
- スタンドアローン3台(各20点=初期侵入10/昇格10)Active Directory(AD)セット40点。
- 合格点は70点:
- 部分点や複数の合格シナリオが定義されている。
- レポート要件:
- 再現性を重視し、攻撃手順・コマンド・証跡を明確に記述する必要がある。
- ツールの使用は制限:
- 大量自動スキャンやAIチャットボットの利用は禁止。Metasploit/Meterpreterは1台のみで使用可能といった詳細ルールが設けられている。
OSCPとOSCP+の関係
- 受験に合格するとOSCPとOSCP+の2つが付与される。
- OSCPは失効しない生涯認定、OSCP+は発行から3年で更新が必要という違いがある。
- OSCP+の維持は、3年ごとの更新(再認定試験/他のOffSec上位資格/CPEの取得など)で行う。
学習リソース
コースの契約期間中は以下の学習リソースへアクセスできます。
- PEN-200(Penetration Testing with Kali Linux):
- 列挙・エクスプロイト・証跡収集・ADやクラウド(AWS含む)の基礎までを網羅し、OSCP+受験準備に最適化されたテキスト及び動画コンテンツ。
- Challenge Labs:
- 実際の試験を模した複数のVMからなる小規模ネットワーク環境。
試験までの準備
「攻撃プロセスを自分の手で回し、再現可能なメモ(チートシート)を残す」ことを主眼に学習を進めました。業務との両立を前提に、平日は短時間でも手を動かし、週末にまとまった演習とノート整備をしました。
学習リソースと時間配分
- PEN-200(OSCP+の公式教材):約1.5か月:
- 教材の完走を最優先に、テキストのインプットと章末演習を実施。
- Challenge Labs(チャレンジラボ):約3か月:
- いくつかあるラボ環境を順に攻略していく反復演習で列挙→初期侵入→権限昇格→横展開の“型”を定着させました。
- PEN-200以外の学習リソース:約3か月:
- 最初の試験は不合格となったため、2回目の試験までにPEN-200を補う内容を書籍や他のオンライン学習リソースで学習。
- SOCブロック内での勉強会:月1回~:
- 期間中の学習の大半は業務時間外で実施、SOCブロック内で月1回、業務時間内の勉強会を開催し進捗共有・学びの社内還元。
試験
1回目(不合格)
朝9時に試験をスタートし、ADセットに取り組みました。開始から1時間ほどでADセットの1台目に侵入しましたが、その後の権限昇格の糸口が全くつかめず、その後9時間ほど飛ばしてしまいました。気分転換を兼ね、スタンドアローンAに手を出したところ2時間ほどで権限昇格まで完了しました。
スタンドアローンAを攻略した勢いのままスタンドアローンBに取り組みました。こちらは少し難しいくらいの難易度で、3時間ほどで攻略が完了しました。スタンドアローンCは侵入までは容易でしたが、権限昇格の糸口がなかなか見つからず、スタンドアローンで合格点を狙いだしていたためかなり絶望しました。この段階で夜中の3時頃でした。
諦めムードでADセットに再度挑みましたが、迷走に迷走を重ね試験時間が終了しました。
結構、落ち込みました。
2回目
1回目の試験から3か月ほど空き、再試験に挑みました。朝9時に試験をスタートし、ADセットに取り組みました。列挙の段階で前回とは違う問題が出されていることに気づきました。最初に提供された認証情報でADセットの1台目にアクセスし、30分程度で権限昇格に成功しました。その後ADセット全体に対する列挙をすると、勝ち筋が見えたので意気揚々と進めていましたがある初歩的なミスにより、3時間ほど無駄にしました。ミスに気づいたあとはスムーズにADセット2台目の侵入まで完了しました。
ADセット2台目の権限昇格では、いつも使っている手段が通じなかったことにより5時間ほど迷走しました。気分転換でスタンドアローンに取り組んだところ、スタンドアローンA, Bと連続してスムーズに攻略できました。スタンドアローンCは列挙段階で時間がかかると踏み、ADセットへ戻ることにしました。
5時間迷走した内容は戻ってきてすぐに解決し、その後1時間ほどでAD全体の侵害が完了しました。この段階で夜の0時だったのでスクリーンショットの確認やレポートに記載する素材の抜け漏れがないかを確認し、朝の6時頃に就寝しました。
13時頃に起床し、12時間ほどレポートを執筆して無事に提出できました。
結果発表
レポート提出から10日後、登録したメールアドレス宛に合格通知メールがとどきました。以降、Offsecのポータルから認定証書等がダウンロードできるようになっていました。
学習・演習・実技試験から得た知見のSOCへの還元
情報セキュリティ部SOCブロックの兵藤です。ここからは自分も記載していこうと思います。自分がOSCPを受けた時は今から約1年前でまだOSCP+になる前の試験でした。
取得後、OSCP学習で培った“攻撃者目線の思考プロセス”をSOC業務へどう還元したか、大山さんと共に具体的な内容を避けつつ(会社のセキュリティに関わる内容のため)解説していきます。
各メンバーのトリアージ精度の向上(SIEM/EDR観点)
“攻撃ストーリー”で見る癖が定着し、普段のアラートを単発ではなく、攻撃ライフサイクル上の「列挙相当か/初期侵入の試行か/権限操作の兆しなのか/etc.」をまず判定する共通フレームができました。ZOZOの環境では様々と便利なツールを導入していますが、最終的には人の目で監視・分析するため、各メンバーの共通認識と言うのは非常に重要であると感じます。
また、脆弱性情報のトリアージも同様でした。CVSSなどの数値的な評価だけでなく、社内環境を踏まえた「これってウチで刺すとどこまで侵害されそうか」を感覚的にイメージしやすくなりました。怪しいものを自分たちで試すことがある程度できるようになったことも大きいですね。
検知ルールの拡張・更新
主に、いわゆる振る舞い検知に関する詳細なルールを追加しました。また、検証によりSIEMにデフォルトで存在するルールの動作・精度(よくあるものはちゃんと検知する)も確認できました。
ハードニング(設定強化)の取り組み
実際に悪用できるかの観点があわさったことにより、より説得力のある強化提案が可能になりました。このことを踏まえ、以下の方針にまつわる設定強化が行われました。
- 最小権限と役割分離
- 横展開耐性の強化
まとめ
本記事ではOSCP+に挑戦し、最終的に合格に至るまでの道順と、その学びをSOC業務へどう還元したかを解説しました。セキュリティについて学んでみたいが何をしていいかわからない方やこれからOSCPを受験してみたい方、SOCって何しているんだろうと疑問に思っている方等、ぜひ参考にしてみてください。今後はさらなる上位資格であるOSEPやOSED等、日々の業務を拡張できるよう、知識を蓄えていければなと考えています。
ZOZOでは、一緒に安全なサービスを作り上げてくれる仲間を募集中です。ご興味のある方は、以下のリンクからぜひご応募ください!
