チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
セキュリティ業界でキャリアアップを考えるとき、こうした疑問は一度は浮かんでくるものです。
ペンテスター(ペネトレーションテスター)は、企業のシステムに対して擬似的な攻撃を行い、セキュリティの穴を見つけ出すプロフェッショナルです。
サイバー攻撃が高度化する中、その需要は年々高まっています。
この記事では、ペンテスターの仕事内容・年収・資格・なり方を一通りカバーしています。
読み終わる頃には、ペンテスターという職種の全体像がつかめて、自分に合ったキャリアパスを考える材料が揃っているはずです。
チップスボス、ペンテスターってハッカーみたいでカッコいいでしゅけど、実際何してるのかよくわからないでしゅ…。
ボスいい質問だな。ペンテスターは「許可を得て攻撃する」プロだ。この記事で仕事の中身から年収、なり方まで全部解説してやる。
※記事の内容をサクッと確認したい方は、以下のスライドでご確認いただけます。
オススメ案件
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
ペンテスターは、企業から正式に依頼を受けてシステムへの侵入テストを実施し、セキュリティ上の弱点を報告するスペシャリストです。
ペネトレーションテスト(penetration testing)とは、実際の攻撃者と同じ手法を使ってシステムの安全性を検証するテストです。
日本語では「侵入テスト」とも呼ばれ、企業のネットワークやWebアプリケーション、物理セキュリティまでを対象に実施されます。
米国国立標準技術研究所(NIST)が発行するSP800-115「Technical Guide to Information Security Testing and Assessment」では、ペネトレーションテストを「攻撃者が用いる実際の手口を模して、システムのセキュリティ機能を突破できるかを検証するセキュリティテスト」と定義しています。
テストの基本フローは、サイバーキルチェーンの考え方に沿って4段階で進みます。
引用元: NIST SP800-115 ペネトレーションテストの定義
ツールでスキャンボタンを押すだけの作業とはまったく別物です。
攻撃者の思考プロセスを再現しながら、手動で侵入経路を見つけ出す技術的検証がペネトレーションテストの本質です。
「ペンテスター」と「ホワイトハッカー」は混同されがちですが、厳密にはニュアンスが異なります。
ホワイトハッカーは、倫理的なハッキング技術を用いてセキュリティに貢献する人材の総称です。
ペンテスターはその中でも「ペネトレーションテスト業務を専門とする職種」を指します。
| 項目 | ペンテスター | ホワイトハッカー |
|---|---|---|
| 定義 | ペネトレーションテストを専門とする職種 | 倫理的ハッキング技術者の総称 |
| 業務範囲 | 侵入テスト・報告書作成が中心 | バグバウンティ・脆弱性研究・フォレンジック等を含む |
| 契約形態 | 企業との正式な業務委託・雇用 | 様々(個人活動含む) |
| 法的位置づけ | 事前の書面による許可が必須 | 活動内容により異なる |
ペンテスターはホワイトハッカーの一種で、企業との契約に基づいて業務を行うプロフェッショナルです。
チップスじゃあ、ペンテスターってホワイトハッカーの中のスペシャリストってことでしゅか?
ボスそうだ。「許可された範囲で、決められた期間内に成果を出す」のがペンテスターの仕事だ。自由に動き回るハッカーとは違い、プロジェクトとして遂行する力が求められる。
意外かもしれませんが、報告書作成にはプロジェクト全体の3〜4割の時間を費やします。
技術的な発見をクライアントが理解できる言葉で伝え、経営判断に使える形に落とし込むスキルが欠かせません。
「侵入して終わり」ではなく、「伝えて初めて価値が生まれる」仕事です。
ペンテスターと脆弱性診断士は、どちらもセキュリティの穴を見つける仕事ですが、目的・手法・求められるスキルが大きく異なります。
チップスオイラ、脆弱性診断ちょっとやってるんでしゅけど、ペンテスターと何が違うんでしゅか?
ボスいい疑問だな。脆弱性診断は「穴を見つける」仕事、ペンテストは「穴を使って実際に侵入して被害を証明する」仕事だ。似ているようで、やっていることはまるで違う。
| 比較軸 | ペンテスター | 脆弱性診断士 |
|---|---|---|
| 目的 | 実際に侵入し、ビジネスへの影響度を証明する | 既知の脆弱性を網羅的に洗い出す |
| 手法 | 手動テスト中心、攻撃シナリオを独自に構築 | ツールスキャン中心、手動確認で補完 |
| スキルセット | OS・NW・AD・Webの深い理解、攻撃手法の開発力 | ツール運用力、レポーティングスキル |
| アウトプット | 攻撃シナリオ付き報告書(侵入経路の再現手順を含む) | 脆弱性一覧と対策推奨のリスト |
脆弱性診断士に求められるのは、Nessus・Burp Suite・OWASP ZAPなどのスキャンツールを適切に運用し、結果を正確にレポートする力です。
ツールの検出結果を精査して誤検知を排除し、クライアントに伝わるレポートにまとめるスキルが重要になります。
ペンテスターには、それに加えてOS・ネットワークの深い知識が求められます。
Windows Active Directory環境の攻撃やLinux権限昇格の手法はもちろん、複数の脆弱性を連鎖させて侵入経路を作り出す創造性も欠かせません。
エクスプロイトコードの改変やカスタムツールを自作するプログラミング力、テスト中に想定外の状況へ対応するアドリブ力も必要です。
ペンテスターは、ツールの出力を読むだけではなく、攻撃者の頭で考えて行動する必要があります。
脆弱性診断の経験は、ペンテスターを目指すうえで強い土台になります。
診断業務を通じて培われる「脆弱性の種類や影響範囲を正確に理解する力」は、ペンテストの現場でもそのまま活きるためです。
ただし、脆弱性診断からペンテスターへステップアップするには、「自動ツール依存」からの脱却が必要です。
ツール検出の裏側にある原理・仕組みを理解したうえで、手動で脆弱性を発見・検証する訓練を積むことが第一歩です。
HackTheBoxやCTFで実際の攻撃シナリオを体験し、Active Directory環境やクラウド環境での横展開テクニックを身につけていきましょう。
脆弱性診断で2〜3年の経験を積んだ後、OSCPなどの実技系資格取得と並行してペンテスト案件に参画するのが、現実的なキャリアアップ経路です。
セキュリティエンジニアのキャリアパスについてはこちらの記事も参考にしてみてください。
ペンテスターの年収は、セキュリティ職種の中でもトップクラスの水準にあります。
正社員とフリーランスで大きく異なりますので、それぞれの相場を見ていきましょう。
チップスやっぱり気になるのはお金でしゅ!ペンテスターって儲かるんでしゅか?
ボス率直にいえば、スキルに見合った報酬が得られる職種だ。ただし日本市場はまだ過小評価されている。ISC2の調査でも、日本企業の39%が「競争力のある給与を提示できていない」と回答しているからな。
経験年数別のおおよその年収帯は以下の通りです。
| 経験年数 | 年収レンジ | 主な所属先 |
|---|---|---|
| 未経験〜3年 | 400万〜600万円 | セキュリティベンダー、SIer |
| 中堅(3〜7年) | 600万〜900万円 | 専門ファーム、大手事業会社 |
| シニア(7年以上) | 900万〜1,200万円以上 | 外資コンサル、CISO直下チーム |
Indeedの求人データによると、東京都内だけでもペネトレーションテスト関連の求人は約700件以上掲載されており、年収1,000万円超の求人も珍しくありません。
引用元: Indeed ペネトレーションテスト 1,000万円の求人
セキュリティベンダーと事業会社では報酬体系が異なります。
ベンダーは案件数や稼働率に応じたインセンティブが付く傾向があり、事業会社は安定した基本給と福利厚生が充実しているケースが多いです。
セキュリティエンジニアの年収事例やセキュリティコンサルタントの年収相場も参考にしてみてください。
フリーランスのペンテスターは、正社員よりも高い収入を得られる可能性があります。
2026年2月時点のフリーランスエンジニア全体の月額平均単価は79.9万円ですが、セキュリティ領域、特にペネトレーションテストの専門家は月額100万〜180万円の単価が相場です。
引用元: エン・ジャパン フリーランスエンジニア月額単価レポート 2026年2月度
案件の取り方には主に2つのルートがあります。
直請けは手数料がかからない分、単価が高くなりやすい反面、営業・契約管理を自分で行う必要があります。
正社員で3〜5年の実務経験を積んだ後にフリーランスに転身すると、年収が1.5倍になるケースも珍しくありません。
「資格がないとペンテスターにはなれないの?」と疑問に思う方もいるでしょう。
結論からいえば、資格は必須ではありません。
ただし、採用やフリーランス案件の獲得において、資格は実力を客観的に証明する武器になります。
チップス資格なしでもペンテスターになれるんでしゅか?
ボスなれるが、資格があった方が圧倒的に有利だ。特にOSCPは「実技で証明する」資格だから、採用する側も安心できる。まずは何を取るか、優先順位をつけて考えろ。
ここでは、実務で評価される5つの資格を優先度順に紹介します。
OSCPは、ペンテスターにとって最も重要な資格です。
Offensive Security社が提供するこの資格は、約24時間の実技試験で構成される点が最大の特徴です。
試験では実際に複数のマシンに侵入し、その後24時間以内にプロフェッショナルな報告書を提出する必要があります。
| 項目 | 内容 |
|---|---|
| 費用 | Learn Oneプラン(90日間のラボアクセス+試験1回)で1,749ドル、年間サブスクリプションで2,749ドル |
| 試験時間 | 23時間45分の実技+24時間の報告書作成 |
| 難易度 | 高い(合格率は公式非公開だが、初回合格率は低いとされる) |
| 更新 | 2024年11月以降はOSCP+として3年ごとの更新制度あり |
引用元: Coursera – What Is OSCP Certification and Is It Worth It? 2026 Guide
日本でもOSCPの認知度は急速に高まっており、セキュリティ専門ファームの採用ではOSCP保有者を優先的に評価する企業が増えています。
「ペンテスターを名乗るなら、まずOSCPを目指せ」というのが業界の共通認識になっています。
CEH(Certified Ethical Hacker)は、EC-Council社が提供する認定ホワイトハッカー資格です。
世界的な知名度が高く、特に外資系企業への転職やグローバル案件で評価されます。
| 項目 | 内容 |
|---|---|
| 費用 | 公式トレーニング受講の場合は約55万円(税込、受験料込み)、独学受験の場合は約650ドル程度 |
| 試験形式 | 選択式問題(実技は別途CEH Practicalとして提供) |
| 受験資格 | 公式トレーニング受講、または2年以上の情報セキュリティ経験 |
| 向いている人 | グローバルで通用する知名度の高い資格を取りたい方 |
引用元: GSX CEH(認定ホワイトハッカー)資格獲得コース
OSCPと比較すると実技の比重が少ないため、「知識の幅広さを証明する資格」という位置づけです。
GPEN(GIAC Penetration Tester)は、SANS Instituteが提供する高品質なペネトレーションテスト資格です。
SANS SEC560コースと連動しており、実践的なネットワーク侵入テストのスキルを問われます。
| 項目 | 内容 |
|---|---|
| 費用 | トレーニング+受験で約100万円前後(SANS Japanの場合) |
| 試験形式 | 82問・3時間、75%以上で合格 |
| 強み | トレーニングの質が高く、実務に直結する内容 |
| 向いている人 | 企業負担で受講でき、体系的に学びたい方 |
引用元: SANS JAPAN Penetration Testing and Ethical Hacking
費用が高額なため、企業がスポンサーとなるケースが多いです。
コストを自己負担する場合は、OSCPを先に取得して実力を証明してから、企業研修としてGPENを受講するのが効率的でしょう。
CompTIA PenTest+は、ペネトレーションテストの入門〜中級レベルをカバーする資格です。
OSCP取得前のステップとして活用する方が増えています。
| 項目 | 内容 |
|---|---|
| 費用 | 受験料約5万円前後 |
| 試験形式 | 選択式+パフォーマンスベース問題(最大85問・165分) |
| 難易度 | 中程度(実務経験3〜4年推奨だが独学でも取得可能) |
| 向いている人 | ペンテスト分野への入り口として体系的な知識を固めたい方 |
OSCPほどの評価力はありませんが、ベンダーニュートラルな資格として幅広い場面で使えます。
CompTIA Security+からのステップアップ先としても自然な流れで、ペンテスト領域に足を踏み入れる最初の一歩に適しています。
情報処理安全確保支援士(登録セキスペ)は、日本国内で唯一のサイバーセキュリティ国家資格です。
経済産業省は2030年までに登録者5万人を目指す目標を掲げています(2025年4月時点で約2.4万人)。
引用元: 経済産業省「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」
| 項目 | 内容 |
|---|---|
| 費用 | 受験手数料7,500円 |
| 試験形式 | 午前I・II(選択式)+午後(記述式) |
| 強み | 国家資格としての信頼性が高く、国内転職で大きなアドバンテージ |
| 向いている人 | 官公庁案件や大企業のセキュリティポジションを狙う方 |
ペンテストに特化した資格ではありませんが、OSCPと合わせて保有することで「国内外どちらでも評価される」ポートフォリオが完成します。
受験手数料が7,500円と他資格に比べて圧倒的に安いので、コスパの面でも取得を検討する価値があります。
ペンテスターへのなり方は、現在のスキルレベルによって大きく異なります。
ここでは「現在地別」に、具体的なステップを解説します。
IT未経験からペンテスターを目指す場合、目安として2〜3年の準備期間を見込んでおくのが現実的です。
ステップ1(0〜6ヶ月): Linux操作、ネットワーク基礎(TCP/IP、DNS、HTTP)、プログラミング入門(Python推奨)から始めます。
この時期は「セキュリティ」に手を出すよりも、ITインフラの土台を固めることに集中してください。
ステップ2(6〜12ヶ月): TryHackMe(初心者向けのガイド付きラボ)やCompTIA Security+でセキュリティの基礎知識を身につけます。
攻撃と防御の全体像を理解し、自分が面白いと感じる領域を見つける時期です。
ステップ3(1〜2年目): HackTheBoxやPortSwigger Web Security Academyで手を動かしながら実践力を磨きます。
ツールの使い方だけでなく、脆弱性が生まれる原理を理解することを意識してください。
ステップ4(2〜3年目): 脆弱性診断の業務に就き、実務経験を積みます。
並行してOSCP取得を目標に据え、ペネトレーションテスト案件への参画を目指しましょう。
大切なのは、最初からペンテストを目指すのではなく、まず脆弱性診断やSOC(セキュリティオペレーションセンター)で実務経験を積むことです。
未経験からセキュリティ領域へ挑戦できるフリーランス案件のように、セキュリティ未経験者を受け入れるポジションも存在しますので、まずは業界に飛び込んでみてください。
SOC・CSIRT・脆弱性診断などの経験がある方は、既存のスキルセットを大いに活かせます。
「あと何を足せばペンテスターになれるか」を明確にすることがポイントです。
| 現在の経験 | 活かせるスキル | 追加で必要なスキル |
|---|---|---|
| SOCアナリスト | ログ分析、攻撃パターンの知識 | 実際の攻撃実行力、権限昇格テクニック |
| 脆弱性診断士 | 脆弱性の理解、レポーティング力 | 手動テスト力、AD攻撃、攻撃シナリオ構築 |
| CSIRTメンバー | インシデント対応、フォレンジック | 攻撃者視点の思考、Webアプリ手動テスト |
| インフラエンジニア | NW・サーバー構築の深い知識 | セキュリティ固有の攻撃手法、脆弱性評価 |
現役エンジニアであれば、OSCP取得を最短目標に設定するのがオススメです。
3〜6ヶ月の集中学習でOSCPを取得し、その実績を武器にペンテスト専門チームへの異動や転職を狙う戦略が効果的でしょう。
今日から始められる学習リソースを、無料・有料に分けて紹介します。
無料で使えるリソースはこちらです。
有料のリソースも紹介します。
CTF(Capture The Flag)は、ペンテストスキルの入り口として有効です。
ただし、CTFと実務にはギャップがあることも覚えておいてください。
CTFで鍛えられるのは、脆弱性の発見・悪用のスピードや、創造的な問題解決力です。
実務ではそれに加えて、スコープ管理、報告書作成、クライアントコミュニケーションが求められます。
CTFで培った技術力をベースに、実務特有のビジネススキルを意識的に補完していくことが大切です。
ペンテスターに投資する価値があるのか、将来性の観点から検証していきます。
日本国内のペンテスト需要は、複数の要因から拡大を続けています。
まず、セキュリティ人材の不足が深刻です。
ISC2の「2025年版サイバーセキュリティ人材調査」によると、日本では42%の組織が「必要な人材を確保できない」と回答しており、世界平均の29%を大きく上回っています。
引用元: ISC2 2025年版「サイバーセキュリティ人材調査」結果
法規制によるペンテスト需要の押し上げも見逃せません。
引用元: PCI Security Standards Council ペネトレーションテスト補足情報
IndeedやdodaなどのFJOB検索でも、ペネトレーションテスト関連の求人は年々増加傾向にあり、年収1,000万円以上の高待遇ポジションも多数見られます。
チップスAIが進化したらペンテスターの仕事もなくなっちゃうんでしゅか?
ボス逆だ。AIが脆弱性スキャンを自動化するほど、「創造的な攻撃シナリオを構築する力」の価値が上がる。ツールで見つけられない穴を突くのが、ペンテスターの真骨頂だからな。
ペンテスターとしての経験は、様々なキャリアへ発展できます。
大きく4つのパスを紹介します。
技術を極める「スペシャリストルート」とマネジメントへ進む「リーダーシップルート」のどちらを選ぶかは、5年目くらいで意識的に判断するとよいでしょう。
どちらの道を選んでも、ペンテスターとしての実務経験は確実にキャリアの土台になります。
市場価値を高めるには、「資格+実績+発信」の3軸で差別化を図ることが大切です。
まず取り組みやすいのがBug Bountyプログラムへの参加です。
HackerOneやBugcrowdで実際の脆弱性を発見・報告することで、ポートフォリオが一気に充実します。
「どんな脆弱性を発見し、どう報告したか」を具体的に語れるエンジニアは、採用面接でも強いアピール材料になります。
資格面では、OSCP取得後にOSEP(Experienced Penetration Tester)やOSED(Exploit Developer)といった上位資格に挑戦すると、専門性をさらに証明できます。
そして見落とされがちなのが技術ブログや登壇での発信です。
自分の知見を言語化してアウトプットすることで、業界内での認知度が高まり、案件の引き合いにもつながります。
正社員としてペンテストの基礎力を固めた後、フリーランスに転身して単価を上げるのは、王道のキャリア戦略です。
フリーランスとして活動するメリットをいくつか挙げます。
「いきなり独立は不安」という方は、まずセキュリティプロ・フリーランスのようなセキュリティ特化エージェントで案件を眺めてみることをオススメします。
案件内容や求められるスキルセットを確認するだけでも、自分の市場価値が見えてきます。
チップスフリーランスって不安定なイメージがあるんでしゅけど、大丈夫でしゅか?
ボスペンテスターは需要が供給を大幅に上回っている。腕に自信があるならフリーランスで試してみろ。案件が途切れる心配は、今のところほぼない市場だ。
ペンテスターは、企業のシステムに対して擬似的な侵入テストを行い、セキュリティの弱点を明らかにする専門職です。
年収は正社員で400万〜1,200万円以上、フリーランスでは月額100万〜180万円が相場であり、スキルに応じた高い報酬が見込めます。
キャリアの第一歩として押さえておきたいポイントは3つです。
ISC2の調査が示す通り、日本のセキュリティ人材不足は深刻で、ペンテスターの需要は今後も拡大し続けるでしょう。
スキルを磨くなら、需要が伸びている今が最もリターンの大きいタイミングです。
「自分のスキルがどれくらいの市場価値を持つのか知りたい」「フリーランスとして案件を見てみたい」という方は、セキュリティプロ・フリーランスで案件をチェックしてみてください。
登録するだけで、ペンテスト案件の具体的な条件や単価感がつかめます。
オススメ案件
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
