Part 7:総合演習(1週間カリキュラム)
Part 7 では、本書で扱った Web / API / モバイル / クラウド / インフラの要素を統合し、1 週間程度の総合演習としてまとめる。目的は、個別技術の習得に留まらず、「スコーピング → 情報収集 → 攻撃チェーン構築 → 権限昇格 → レポート作成」という一連の流れを、実務に近い形で体験することである。
本 Part で扱う主なテーマは次のとおりである。
- 演習シナリオと環境の設計(複数コンポーネントを含む模擬システム)
- スコーピングとテスト計画の策定
- 情報収集と脆弱性発見、攻撃チェーンの構築
- 権限昇格とクラウド/インフラへの横展開
- レポート作成と振り返り
ここでの総合演習は、本書の集大成として位置づけられ、社内研修や外部トレーニングでそのまま流用できることを意図して構成する。
1週間カリキュラムのイメージ
総合演習は、おおむね次のような時間配分を想定する。
- 1日目:スコーピングとテスト計画の策定
- 2〜3日目:Web / API を中心とした初期侵入とアタックサーフェスの把握
- 4日目:クラウド / インフラ(Linux / コンテナ)への横展開と権限昇格
- 5日目:攻撃チェーンの整理とレポート作成、振り返り
実際の研修では、参加者の経験や利用可能な時間に応じて調整してよいが、本書では上記の流れを標準パターンとして想定する。
対応演習と提供状況
総合演習で利用する環境は、複数コンポーネントを含む模擬システムを想定する。
執筆時点では Part 7 専用の統合環境は提供していない。
ただし、exercises/ 配下の各演習環境(DVWA / Juice Shop / crAPI / MobSF / SSRF→IMDS / Linux/コンテナ)を組み合わせて利用できる。
起動手順は 付録「演習環境クイックスタート」 を参照し、提供状況は exercises/README.md を参照する。
演習で作る成果物(推奨)
総合演習では、次の成果物を作ると一連の流れ(計画→実行→報告)を再現しやすい。
- スコーピングシート(対象範囲、前提、制約、許可事項)
- テスト計画書(観点、手順、優先度、実施記録の方針)
- 学習ログ/証跡集(再現手順・証拠・所見を、脆弱性や攻撃チェーン単位で整理)
- 攻撃チェーン整理資料(侵入点、横展開、権限、影響を図示または箇条書きで整理)
- レポート(サマリ、リスクシナリオ、影響、推奨対策、付録としての証拠)
関連資料
- 付録「演習環境クイックスタート」
- スコーピングシートテンプレート(Pentest)
- テスト計画書テンプレート(Pentest)
- 学習ログテンプレート(Burp Academy / 演習)
- Pentest レポートテンプレート
- サンプル成果物(記入例)
- Web Pentest チェックリスト(原案)
- API Security チェックリスト(原案)
- OAuth2 / OIDC テスト項目表(原案)
- モバイル Pentest チェックリスト(原案)
- クラウド構成ミス防止チェックリスト(原案)
- Linux / コンテナ検証事項(原案)
- 用語集
次に読む章
本章のポイント
- Part 7 は、本書の各レイヤ(Web / API / モバイル / クラウド / インフラ)を統合し、スコーピングからレポートまでの一連プロセスを実務に近い形で体験することを目的とする。
- 目標は個別テクニックの列挙ではなく、攻撃チェーン構築と影響評価を通じて、再現可能な成果物として残すことである。
- 1 週間カリキュラムは標準パターンとして提示し、研修の制約(参加者経験、時間)に応じて調整できる前提で設計する。