title: “総合演習 Part の狙い” part: “Part 7” chapter: “7-0”
Part 7:総合演習(1週間カリキュラム)
Part 7 では、本書で扱った Web / API / モバイル / クラウド / インフラの要素を統合し、1 週間程度の総合演習としてまとめる。目的は、個別技術の習得に留まらず、「スコーピング → 情報収集 → 攻撃チェーン構築 → 権限昇格 → レポート作成」という一連の流れを、実務に近い形で体験することである。
本 Part で扱う主なテーマは次のとおりである。
- 演習シナリオと環境の設計(複数コンポーネントを含む模擬システム)
- スコーピングとテスト計画の策定
- 情報収集と脆弱性発見、攻撃チェーンの構築
- 権限昇格とクラウド/インフラへの横展開
- レポート作成と振り返り
ここでの総合演習は、本書の集大成として位置づけられ、社内研修や外部トレーニングでそのまま流用できることを意図して構成する。
1週間カリキュラムのイメージ
総合演習は、おおむね次のような時間配分を想定する。
- 1日目:スコーピングとテスト計画の策定
- 2〜3日目:Web / API を中心とした初期侵入とアタックサーフェスの把握
- 4日目:クラウド / インフラ(Linux / コンテナ)への横展開と権限昇格
- 5日目:攻撃チェーンの整理とレポート作成、振り返り
実際の研修では、参加者の経験や利用可能な時間に応じて調整してよいが、本書では上記の流れを標準パターンとして想定する。
対応演習と提供状況
総合演習で利用する環境は、複数コンポーネントを含む模擬システムを想定する。
執筆時点では Part 7 専用の統合環境は未整備だが、exercises/ 配下の各演習環境(DVWA / Juice Shop / crAPI / MobSF / SSRF→IMDS)を組み合わせて利用できる。起動手順は 付録「演習環境クイックスタート」 を参照し、提供状況は exercises/README.md を参照する。
関連資料
- 付録「演習環境クイックスタート」
- スコーピングシートテンプレート(Pentest)
- テスト計画書テンプレート(Pentest)
- 学習ログテンプレート(Burp Academy / 演習)
- Pentest レポートテンプレート
- Web Pentest チェックリスト(原案)
- API Security チェックリスト(原案)
- OAuth2 / OIDC テスト項目表(原案)
- モバイル Pentest チェックリスト(原案)
- クラウド構成ミス防止チェックリスト(原案)
- Linux / コンテナ検証事項(原案)
- 用語集
次に読む章
本章のポイント
- Part 7 は、本書の各レイヤ(Web / API / モバイル / クラウド / インフラ)を統合し、スコーピングからレポートまでの一連プロセスを実務に近い形で体験することを目的とする。
- 目標は個別テクニックの列挙ではなく、攻撃チェーン構築と影響評価を通じて、再現可能な成果物として残すことである。
- 1 週間カリキュラムは標準パターンとして提示し、研修の制約(参加者経験、時間)に応じて調整できる前提で設計する。