PNPT合格体験記
はじめに
はじめまして。
TIS ペネトレーションテストチームの魏赫です。
このたび、1 週間にわたる Practical Network Penetration Tester(PNPT)試験を完遂し、2024 年に認定を取得いたしました。
日本国内ではまだ知名度が高いとは言えませんが、海外では注目度が急速に高まっており、実務寄りのペネトレーションテスト資格として評価されています。
本稿では、
- 試験概要および勉強方法
- 受験体験(ポリシーに抵触しない範囲)
- OSCP との比較
- 資格取得を通じて得られた学び
を社会人向けに分かりやすくまとめました。
PNPTとは
PNPT (Practical Network Penetration Tester) は、米国 TCM Security 社が提供する実践型ペネトレーションテスト資格です。
特徴は下記のとおりです。
| 項目 | 内容 |
|---|---|
| 評価対象 | OSINT から報告会まで、商用ペネトレーションテストの全プロセス |
| 試験形式 | Capture the Flag (CTF) 用ではなく、実企業のネットワークを模した AD 環境 |
| 実施フロー | ①契約・ルール確認 ②5 日間のテスト ③48 時間で報告書提出 ④最終プレゼン(15 分) |
| 合否基準 | ①ドメイン管理者権限の取得 ②ビジネスレベルの報告書・英語プレゼンの品質 |
| 受験料 (2025 年2月) | US $499 ※1 回の無料リテイク含む |
| 推奨スキル | OSINT、Web/AD ペンテスト、権限昇格(Windows/Linux)、報告書作成、英語コミュニケーション能力 |
試験難易度
公式の見解では「中堅~シニア向け」と位置づけられています。
筆者の主観では、技術難度は OSCP と同等ですが、
- テスト期間が 5 日間あるため制限時間のプレッシャーは緩い
- 代わりに報告書/プレゼンの品質が合否に大きく影響する
という違いがあります。
特に Active Directory 侵入に重点が置かれており、AD 経験が浅い場合は追加学習が必須です。
Security Certification Roadmap:https://pauljerimy.com/security-certification-roadmap/
公式ドキュメントで難易度について説明されています。
出典: https://certifications.tcm-sec.com/pnpt/
- 初心者であれば、試験は非常に難しく、試験に挑戦する前にトレーニングを完了することを強くお勧めします。
- ジュニアレベルのペネトレーションテストエンジニアであれば、試験は難しく、追加のトレーニングが必要になる場合があります。
- 中堅・シニアレベルのペネトレーションテストエンジニアであれば、ちょうどよい難易度となるように設計されています。
試験対策と学習リソース
下記 3 系統の学習リソースを併用しました。
- 公式 E-Learning
- Practical Ethical Hacking
- Windows/Linux Privilege Escalation
- Open-Source Intelligence
- External Pentest Playbook - HackTheBox Academy – Penetration Tester Job-Role Path
OSEP 相当の深度までカバー。演習ラボが非常に実践的で、AD 攻撃・横断の習得に有益でした。
このトレーニングは実際にHTB Certified Penetration Testing Specialist (HTB CPTS)試験のために用意されており、OSCPとPNPT試験の範囲を超えた、OSEPに近しいレベルに相当しています。 - TryHackMe / HackTheBox の マシン
TCM Security社にオンラインのLabは提供されていませんが、受験生が自分で構築する必要があるローカルのlabが提供されています。
**TryHackMe**
- https://tryhackme.com/room/attacktivedirectory
- https://tryhackme.com/room/corp
- https://tryhackme.com/room/attackingkerberos
- https://tryhackme.com/room/wreath
**HackTheBox**
- https://www.hackthebox.com/machines/active
- https://www.hackthebox.com/machines/forest
- https://www.hackthebox.com/machines/sauna
- https://www.hackthebox.com/machines/monteverde
- https://www.hackthebox.com/machines/timelapse
- https://www.hackthebox.com/machines/flight
- https://www.hackthebox.com/machines/return
- https://www.hackthebox.com/machines/cascade
練習問題は、できる限りヒントに頼らず、自分の力で解くことが効果的です。
そして、後で振り返ることができるように、ノートに要点をまとめておくことを推奨します。
受験体験
試験のポリシーに違反しない範囲で、受験体験について説明いたします。
試験ではペネトレーションテストのために、「実際の企業ネットワークに近しい環境」が提供されます。
受験者は、「業務委託契約」と「Rules of Engagement」ドキュメントを受け取り、それを読んだ後、VPN ファイルに接続して試験環境にアクセスすることができます。
ペネトレーションテスト(5日間)
受験者はOSINT (Open Source Intelligence) から始めて「入口」を見つける必要があります。
受験者は、ネットワーク外部からスタートし、企業イントラネットに侵入後、最終的にDomain Controllerの完全な制御権限を取得し、永続的なコントロールを確立する必要があります。
OSINTは、公開されている情報源からインテリジェンス(意思決定に役立つ情報)を生成することを指します。
簡単に言うと、誰でもアクセスできる情報だけを使って、特定の目的を達成するための情報を集めて分析することです。
ハッキングや秘密裏の活動は一切含みません。
あくまで合法的な手段であり、インターネット、書籍、新聞、テレビ、政府機関の公開資料など、オープンな情報源を活用します。
ちなみに、試験にはプロセス点がなく、最終的なDomain Controllerの管理者権限取得のみが、侵入成功と見なされます。
1日目
初日に、外部から内部ネットワークに侵入するところまではできていたものの、1時間ほど行き詰まっていました。
散歩に出かけて気分転換することで、頭が冴えてきて、問題を解決することができました。
2日目
2日目、イントラネットに入ってから、一瞬「実際の企業内ネットワークでは」と思いました。
試験環境のネットワークと実際の企業のActive Directory環境があまりにも似ていたからです。
CTFの通常経験に基づき、LinuxまたはWindowsのリバースシェルを入手した後、特権の昇格を考慮する必要があります。
一般的な考え方によると、最初のステップはマシンにインストールされているソフトウェアをチェックすることです。
RDPを使ってWindowsマシンにアクセスすると、何もない真っ白なデスクトップが表示されます。
インストールされているソフトウェアやサービスを確認すると、デフォルトでインストールされているサービスばかりであることがわかります。
デフォルトでない、または一般的でないソフトウェアやサービスを見つけたら、これが突破口であることは確実です。
しかし、それはCTFの場合であり、実際の企業ペネトレーションテストプロジェクトとは異なります。
現代のビジネスITシステムでは、通常、各デバイスにはファイアウォール、アンチウイルスソフトウェア、EDRなどが導入されています。
さらに、オフィスのパソコンにインストールされているソフトウェアはすべてコンプライアンス審査を受けており、脆弱性がないことを確認しています。
これがPNPT試験のユニークな点であり、CTFとは異なり、「本物」の企業環境に対するペネトレーションテストに重点を置いています。
イントラネットに入ってからは、CTFの考え方は全て捨て、ペネトレーションテストの技術的な方法論だけでアプローチしました。
3日目
3日目、午前中の約4時間、攻撃ベクターが機能せず、自作のエクスプロイトコードまで開発しましたが、それでも効果がありませんでした。
メモを見直してみると、あるポイントを見落としていたことに気付きました。
「ここが鍵となる場所なのか?」
午後3時、Domain Controllerへの侵入に成功し、管理者権限を取得しました。さらに永続化を行い、ドメイン全体を掌握しました。
ここでまだ試験環境は閉じません。再度メモを確認し、レポートのためのスクリーンショットを追加で取得しました。
午後9時頃、試験環境を終了し、報告書作成の申請を行いました。
報告書作成(2日間)
商用レベルのペネトレーションテスト報告書の作成を開始しました。
これには、客観性、詳細な記述、そして高いプロフェッショナリズムが求められます。
報告書作成はペネトレーションテストエンジニアにとって必要不可欠なスキルですが、残念ながら現時点では、この分野において商用レベルの要件を求めるのはPNPT試験のみでした。
OSCPでさえ、報告書の要件には比較的寛容です。
報告書作成には丸一日、約8時間を費やしました。
スペルミスや不適切な表現がないか何度も確認し、慎重に仕上げた上で提出しました。
そして24時間以内に報告書の審査通過通知を受け、お客様向けのプレゼンテーション準備に入ることになりました。
報告会(15分)
報告書が受理された後、「お客様」と連絡を取り、報告会の時間を予約することができます。
報告会は試験官が担当し、あまり技術に詳しくないお客様の担当者を演じます。
報告会の流れは以下の通りです。
- ペネトレーションテストのプロジェクト全体の流れを提示
- お客様のシステムで発見したセキュリティ上の問題点および修正方法
- 質疑応答
報告会が完了すると、試験はやっと終わりました。
報告会についてですが、技術者と非技術者に対して、ペネトレーションテストの成果と攻撃の流れを説明するシミュレーションを行います。
「非技術者」という役割があるため、できる限り専門用語の使用は避けるべきです。
発表会後、試験に合格したとメールが届きました。
PNPT と OSCP の比較
2024年、私はOSCP試験も合格し、資格を取得しました。
OSCPはペネトレーションテスト分野で最も有名な資格の一つであり、PNPTはよくOSCPと比較されます。
| 観点 | PNPT | OSCP |
|---|---|---|
| 評価範囲 | 外部侵入 → AD ドメイン掌握 → 報告書 → 英語プレゼン |
5 台 (AD + スタンドアロン 3 台) の侵入と権限昇格 → 報告書 |
| 試験時間 | テスト 5 日 + 報告書 2 日 + プレゼン | テスト 24 h + 報告書 24 h |
| スコア方式 | Domain Admin 取得が必須(点数なし) | 各マシン毎にフラグ得点(70 点で合格) |
| 受験料 (2025 年2月) | US $499(再試 1 回込) | US $1,749(PWK 90 日+1 回受験) |
| 重点分野 | AD 侵入・ビジネス報告 | 幅広いエクスプロイト開発・権限昇格 |
| 合否後プロセス | LinkedIn バッジ/デジタル証明書 | LinkedIn バッジ/デジタル証明書 |
得られた学び
1.報告書とプレゼンは技術と同等に重要
技術的成功だけでは顧客へ価値を届けられないため、ビジネス意思決定につながる提言が不可欠。
2. 実環境を想定した制約条件下の判断力
アンチウイルスや EDR を前提とした"静かな"攻撃が求められ、CTF 的な “派手な” Exploit は通用しない。
3. セキュリティ設計の重要性
権限委任や認証フローの緩い設定がドミノ倒しを引き起こすリスクを改めて体感。
おわりに
PNPT 取得を通じ、TIS ペネトレーションテストチームは
- 技術力の客観的証明
- 商用レベルの報告・プレゼン品質向上
という 2 軸で強化されました。
今後も最新の攻撃手法を取り入れ、お客様環境の多角的診断・防御力向上に努めてまいります。
セキュリティ診断やペネトレーションテストにご関心がございましたら、ぜひお気軽にお問い合わせください。
著者
魏 赫
TIS株式会社IT基盤技術事業本部
IT基盤サービス事業部
セキュリティサービス部