こんにちは、在宅ワーカー ねこまるです。
すみません、今日の話はひたすら愚痴なのと(だらだら文句言う回)、IT業界にいない方は理解できない話?が含まれていると思います。(いやでも、そんなに難しい話はしていない)
引き返すなら、今のうち
さて、もうすぐボーナス時期だし、秋だし(一番好きな季節+まだ暖かいので冬にはカウントしない)、浮かれ気味なねこまるですが、
実は10月頭から、ようやく OSCP というペネトレーションテストの試験の勉強を開始しました。
といっても 10 月は BoConcept 行ったり、oasis ライブ行ったり忙しかったんだけど (←え
2件だけ?)
愚痴①:マネージャー
試験受けるつもりで、会社には 7月から開始したいと申請していたのに
マネージャーが稟議資料の作成を放置し(?)、申請がずれ込んで、コースの開始が10月頭からになりました
(※ちなみに、オンラインで受講するタイプで、Web 上でテキスト見れたり、ラボにアクセスできたりする1年間のサブスクタイプのコース)
本来なら、別に開始時期なんていつでもいいんですけど…
「今期の申請だから、とりあえず3月までに1回試験受けてよ」とか言われ
言い返してませんが「いや、だったら、7月から始めさせろよ
」とか思った
愚痴②:マインドセット Try Harder
ペネトレーションテストというのは日本語直訳だと「侵入試験」で、
抜け道を見つけてシステムに入り込むテストをする業務のことです。
結局やることはハッカーと同じなんですが、一般的にペンテスターというのは
「会社から許可をもらった上でシステムに侵入することができるかをテストして、
不法に入り込める抜け道がないかを探す」お仕事です。
ペンテスターが入れるなら、悪いハッカーも入れますからね
(その「抜け道」をセキュリティホールと呼んでる)
ちなみに、ねこまるはセキュリティエンジニアですが、
どちらかというとインフラ保守に近い仕事で、ペンテストの業務は一切したことがない「ど素人」です。
ただ、ペンテストに必要な知識は現在の業務に活きるので、今回コースを受けさせてもらってるのですが
課題が激難しくて超ストレス
OSCP のコースの第1章に、
本コースの受講にあたって常に持っておくべきマインドセットは
「Try Harder」
ですよ、と書いてありました。
最初は「ほーん」という感じで流し読みしておりましたが、
コースを進めるにつれ、この言葉がボディブローのように効いてくる
OSCP の試験の課題をイメージで言うと、
「どこかにある宝箱を探してもってこい」という雑な命令を受けている状態で
①まずどの場所に宝箱があるか検討をつける
②色々な情報により場所の検討がついたとして、地図がないので、道が正しいのかもわからない状態で宝の場所に向かっていく
③やっとの思いでたどり着いて宝箱を見つけたら、次はどうやって宝箱の鍵をあけるかを試行する
みたいな
ど素人からすれば、雲をつかむような話でしんどいんですよ
経験を積んでいけば勘所がわかるので、経験が命な課題なんですが
(上の例②でいうと、地図がないという条件が同じだとしても、土地勘があるとないとでは全然違うよねって話)
経験がない状態だと、正しい道を歩いているのかわからない状態で、
道を進み続けて探っていく感じとか(本当にこの先にゴールあるの?と思いながら歩くのしんどいじゃないですか)
全然突破口が見つからなかったりとか
もうね、結構ストレス
ちなみに、Discord という受講者だけが使えるコミュニティの掲示板で相談したら、
有識者(試験ベンダーのoffsec社の社員さんなのかな?)がヒントをくれるのですが
さんざん色々なことを試した上で、困り果てて白旗上げている状態で質問しているのに
(想像に難くないと思いますがストレスマックスの状態です)
Try Harder
とか応答されると、本当にメンタルに来るんですよw 
まあ、ヒントくれるけどね
まあ、ペンテストは、全てを試行錯誤して本当にセキュリティホールがないことを証明しなくてはいけないお仕事なわけですから、
簡単に侵入諦めているようだったら、ペンテスターとして失格なわけで
スキルがないとセキュリティホールを見逃して、本当のハッカーからの攻撃に利用されてしまうんでね
わかってるんですけどね
Try Harder はずっしり重い
愚痴③:ChatGPT
昔に比べて技術の勉強って、ChatGPT のおかげでやりやすくなったと思います。
技術を勉強したことない人向けに説明すると、技術の勉強の難しさって環境構築とトラブル対応が大きな割合を占めるんです。
例えば、HTML/CSS のような超簡単な技術を学びたいっていう超ど素人が、自主学習で勉強のための環境構築として Web サーバーを構築するなんて到底無理なわけじゃないですか。
(※実際にはローカルファイルをブラウザで表示すればよいので、HTML/CSS程度であればWeb サーバーの構築は不要ですけど)
でも、最近は ChatGPT とかが手取り足取り教えてくれるので、
環境構築でトラブったとしても、解決方法教えてくれたりするので
AI のおかげで敷居がぐっと低くなったと思います。
(とはいっても、ChatGPT の説明が理解できる最低限の IT リテラシーは必要)
ペンテスト分野においては、ねこまるも超ど素人なので
ChatGPT 様に手取り足取り教えてもらう気まんまんだったのですが
ChatGPT がコンプライアンスをしっかり学習しており、
「攻撃につながるような話は教えられません」
(まあ、そりゃそうなんだけどw)
と、毎回(←ここ重要)、言われるんですよ
まあ、それでも困っているからしつこく聞くんですけどw
(ねこまる自身は攻撃者ではなく、あくまで OSCP の学習の一環で聞いてますとさんざん言っていると、しぶしぶ答えられる範囲で答えてくれる感じ)
先日コースの課題で、対象マシンのセキュリティホールを見つけて、対象マシン上でコマンドを実行するための Web シェルは仕込めむところまで成功し、後はリバースシェルを確立するためのコマンドさえわかればフラグが取れるのに(要約すればあと一歩)…素人なねこまるはリバースシェルの書き方がわからず(ちなみにOSCPの教科書にのっていない+環境によってリバースシェルの書き方は異なるので、いくつかのシェルは試したけどうまく動かない状況)、
ChatGPT に何とかヒントになる情報を聞き出そうとするも
「リバースシェルの書き方は攻撃につながるので教えることはできません」
と返ってくるので、色々質問の仕方を変えて聞いてみるも (試行錯誤ってそこかよって感じですがw)
毎回、全ての応答に「攻撃につながることは教えることはできません」という文言を逐一つけてくるのが、
課題が解決しないストレスも重なって(あと1歩で解決なのに)、ストレスマックス
ブチっとな
ねこまる「毎回、同じこと言わなくていいです。毎回言われるとイラっとします」
と応答してしまったw 
覚えてないけど、もっと強い口調だった気がする
でも、ChatGPT はコンピューターの処理で感情はないので
(もちろん感情あるフリはできるけど)
カスハラ的に ChatGPT にストレスをぶつけても、誰に迷惑かけるわけでもないのはいいですよね
クレーマー対応は AI がした方が、心穏やかに過ごせる人が増えると思う
あ、ちなみに文句言ったらやめてくれましたw
ペンテスト系の勉強がしたい人向けの話ですが、ChatGPT はなかなか助けてくれないので、これまでのように自力で頑張るスタイルで進めないといけないかもなので要注意
まあ、そんなこんなで、ここ2週間ストレス溜まっている状況にあるのですが
少しずつスキルアップしていきたいです
まあ、今の状態だったら3月に試験受けるのは無理げーですね…難しすぎる…