CyberFix Note
ペンテスト・CTF

セキュリティを手を動かして学ぶ自宅ラボの作り方と機材の選び方

対象の目安: セキュリティを手を動かして学びたい人 / 入門

ソウ攻撃・脆弱性リサーチ担当
・ 約13分で読めます
セキュリティを手を動かして学ぶ自宅ラボの作り方と機材の選び方

セキュリティの学習は、教材を読むだけでなく、実際に脆弱なアプリを動かして挙動を確かめると理解が深まります。ただし脆弱なアプリや攻撃側の道具を自宅の普段使いのネットワークに置くと、家庭内の別の機器や外部に影響が及ぶおそれがあります。そこで役立つのが、自分が管理する隔離された仮想環境、いわゆる自宅ラボです。仮想マシンを閉じたネットワークに置き、その中でだけ脆弱なアプリや検証を動かせば、周囲に影響を与えずに手を動かして学べます。

この記事は、これからセキュリティを手を動かして学びたい人に向けて、隔離された自宅ラボの作り方と、そのための機材の選び方を整理します。攻撃の再現手順やペイロードは扱いません。学ぶ目的は、攻撃の仕組みを理解して防御に活かすことです。試す手法は、必ず自分が管理する検証環境か、書面で許可された対象にだけ使ってください。なお本記事はアフィリエイトリンクを含みます。紹介する製品の効果や適合性を保証するものではなく、購入判断はご自身の用途に照らしてお願いします。詳細は広告およびアフィリエイトについてをご覧ください。

自宅ラボで何を学ぶか

自宅ラボは、セキュリティのいくつかの分野を安全に練習する場になります。まずWebアプリの脆弱性です。DVWA(Damn Vulnerable Web Application)やOWASP Juice Shopは、学習のためにあえて弱点を残したアプリで、SQLインジェクションやクロスサイトスクリプティングといった典型的な弱点の挙動を、自分の手元で観察できます。次にペネトレーションテストの練習です。Metasploitable 2のように脆弱なサービスをまとめたVMを標的役に置き、攻撃側のVMであるKali Linuxから、閉じたネットワークの中で調査や検証を試せます。

さらに、マルウェア解析やCTF(Capture The Flag)の題材を動かす場としても使えます。いずれも共通するのは、実在の第三者のシステムではなく、自分が用意した標的に対してだけ試すという点です。学ぶ狙いは、攻撃者がどのように弱点を突くのかを理解し、その知識を守る側の設計や運用に還元することにあります。

OWASPはJuice Shopを、意図的に脆弱性を仕込んだモダンなWebアプリケーションとして公開し、セキュリティ教育やトレーニング、CTFの題材として使える練習用の環境だと説明しています。

Webの脆弱性を題材に手を動かす入口としては、CTFの練習が取り組みやすい方法です。始め方は関連記事で整理しています。

あわせて読みたい

CTF入門。Webセキュリティを安全に学ぶ最初の一歩を徹底ガイド

隔離を最優先にする理由

自宅ラボで最初に決めるのはネットワークの置き方です。脆弱なVMやマルウェアを動かすVMは、家庭内の他の機器や外部のインターネットから切り離した状態で動かします。切り離しが甘いと、脆弱なアプリが外部から到達可能になったり、マルウェアVMが同じLAN上の別の機器へ広がったりするおそれがあるためです。

VirtualBoxのようなソフトには、この隔離のための仕組みが用意されています。ホストオンリー(host-only)ネットワークは、VMとホストの間だけで通信し、外部のネットワークには出て行かない構成です。内部ネットワーク(internal network)は、指定したVM同士だけで閉じた通信を行い、ホストや外部からは切り離されます。攻撃側VMと標的VMを内部ネットワークに置けば、両者だけが通信する閉じた実験場になります。逆に、自宅LANにそのまま参加させるブリッジ接続は、脆弱なVMを家庭内ネットワークに晒すため、学習用途では避けます。

VirtualBoxのマニュアルは、ホストオンリーネットワークがVMとホストの間の通信に限られ、内部ネットワークが指定したVM同士だけで通信する閉じた構成であると説明し、用途に応じたネットワークモードの選び方を示しています。

ホストの選び方

ラボの土台になるホストで、まず効いてくるのがメモリです。攻撃側VMと標的VMを同時に起動すると、それぞれがメモリを確保するため、搭載量が足りないと動作が重くなったり起動できなくなったりします。目安として、RAMは16GB以上を確保しておくと複数のVMを扱いやすく、32GBあれば余裕を持って同時起動できます。

CPUは、仮想化支援機能(Intelのプロセッサ環境で言うVT-x、AMDの環境で言うAMD-V)に対応したマルチコアのものを選びます。仮想化支援があると、VMの処理をハードウェアが肩代わりし、動作が軽くなります。ストレージは、起動やスナップショットの操作が速いNVMe SSDが向いています。回転式のハードディスクや低速なストレージでは、VMの起動や複製に時間がかかり、学習のテンポが落ちます。

常時稼働させる専用のラボ機としては、小型で消費電力の低いミニPCが手頃な選択肢です。Webアプリを1つ2つ動かす程度の軽い用途ならN100やN150クラスの省電力機でも足りますが、Active Directoryを組むラボのように複数のサーバーVMを同時に動かす重い用途では、RyzenやCoreの上位を積んだ機種を選ぶと安定します。用途の重さに合わせて、メモリ搭載量とCPUの性能を見積もることが選び方の軸になります。

仮想化ソフトとスナップショット

仮想化ソフトは、大きくタイプ2とタイプ1に分かれます。タイプ2は、WindowsやmacOSといった普段のOSの上にアプリとして載せる方式で、VirtualBoxが無償で使え、VMware Workstationも広く使われています。手元のパソコンにそのまま導入でき、入門に向いています。タイプ1は、ハードウェアに直接載せる方式で、Proxmoxなどがあります。専用のラボ機を用意して常時稼働のサーバー的に運用したい場合に向きます。まずはタイプ2で慣れ、規模が大きくなったらタイプ1を検討するという進め方が無理がありません。

学習用途で特に役立つのがスナップショットです。スナップショットは、ある時点のVMの状態を保存し、後からその状態へ巻き戻す機能です。マルウェア解析では、検体を動かす前の状態をスナップショットに残しておけば、感染後の変化を観察したあとで即座に清浄な状態へ戻せます。脆弱なアプリで設定を壊してしまったときも、やり直しが手軽になります。ラボを気軽に試して戻せることが、手を動かす学習の回数を増やしてくれます。

物理でラボを分けるとき

仮想マシンだけでなく、物理的な機器を並べてラボを組む場合もあります。古いパソコンやミニPCを標的役として複数台つなぐと、実機ならではの挙動を試せます。このとき問題になるのが、そうした機器を自宅LANから切り離す方法です。ルーターのLANポートにそのままつなぐと、家庭内の他の機器と同じネットワークに入ってしまいます。

分離の手段になるのがVLAN対応のスイッチです。VLANを使うと、1台のスイッチの中を論理的に複数のネットワークに区切り、ラボ用の機器を家庭内ネットワークから隔離できます。ラボのセグメントと家庭のセグメントを分け、必要な通信だけを通す設計にすれば、実機を並べても自宅LANに晒さずに済みます。物理と仮想を組み合わせる規模になったら、こうしたネットワーク機器の選び方も検討に入ります。

より本格的にペネトレーションテストの練習へ進みたい場合の道筋は、関連記事で整理しています。

あわせて読みたい

ペネトレーションテストの進め方と報告書の書き方。スコープ・許可・手順・報告を実務目線で整理する

実在する機材の候補

ここからは、自宅ラボを組むときの機材の候補を挙げます。ミニPCやSSDは型番の改訂や世代交代があり、対応する規格や容量が製品ごとに異なります。導入前に、国内で使える技適や正規流通品か、対応するメモリ規格と最大容量、SSDのスロット形状やPCIe世代を、各メーカー公式と販売店で確認してください。効果や適合性を保証するものではなく、用途に照らして判断してください。

仮想化ラボ向けミニPC(32GBメモリ対応)

広告
仮想化ラボ向けミニPC(32GBメモリ対応)

複数のVMを同時に動かすための、常時稼働できるラボ機の候補です。仮想化支援に対応し、NVMe SSDと32GB以上のメモリを積める構成を目安に、RyzenやCoreの小型機を選ぶと、Active Directoryを組むような重いラボにも耐えやすくなります。技適や正規流通、対応するメモリの上限は、購入前に各メーカー公式と販売店で確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

ミニPCは同じシリーズでも搭載CPUやメモリ上限が構成ごとに違います。購入前に、仮想化支援の対応、メモリの最大容量、NVMeスロットの有無と数を、メーカー公式で確認してください。

増設用メモリ(DDR5 SO-DIMM 32GB)

広告
増設用メモリ(DDR5 SO-DIMM 32GB)

既存のミニPCやノートパソコンのメモリを増やし、同時に起動できるVMの数を増やすための選択肢です。対応する規格(DDR4かDDR5か)と最大容量、フォームファクタ(SO-DIMMかDIMMか)を、本体の仕様で確認してから選んでください。規格が合わないと装着できません。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

メモリ増設は本体側の対応が前提です。購入前に、スロット数と空き、対応するメモリ規格と最大容量を、メーカー公式で確認してください。

ラボ用の内蔵NVMe SSD(1TB以上)

広告
ラボ用の内蔵NVMe SSD(1TB以上)

VMのイメージとスナップショットは容量を消費するため、高速なNVMe SSDを余裕を持った容量で選ぶと安心です。1TB以上あると、複数のVMとその世代を残しやすくなります。対応するスロット形状(M.2 2280など)とPCIeの世代を、本体側の仕様で確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

内蔵SSDは本体のスロットに依存します。購入前に、M.2スロットの形状とPCIe世代、増設できる枚数を、メーカー公式で確認してください。

VMイメージ退避用のポータブルSSD(1TB以上)

広告
VMイメージ退避用のポータブルSSD(1TB以上)

作ったラボのバックアップや、マルウェア解析に使うVMを母艦から切り離して保管するための外付けSSDです。イメージの退避には容量が要るため、用途に応じて容量と転送速度を選んでください。解析を終えたVMを物理的に切り離しておけば、母艦への影響も抑えられます。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

法令と倫理の前提

自宅ラボで身につける手法は、必ず自分が管理する検証環境か、書面で許可された対象にだけ使ってください。許可なく第三者のシステムを調査したり攻撃したりする行為は、不正アクセス禁止法などの法令に違反します。学んだからといって、実在のサイトやサービスで試すことは絶対にしないでください。練習は閉じたラボの中で完結させるのが原則です。

もう一つ守りたいのが、意図的に脆弱なアプリを外部に公開しないことです。DVWAやMetasploitableのような教材は弱点をあえて残しているため、インターネットから到達できる状態に置くと、第三者に悪用される踏み台になりかねません。これらのドキュメントでも、公開ネットワークに接続しない前提が案内されています。ホストオンリーや内部ネットワークで閉じ込め、隔離環境の中だけで動かしてください。

警察庁は、不正アクセス禁止法などのサイバー関連法令をまとめて公開し、他人の識別符号を無断で使う行為やアクセス制御を回避して他者のコンピュータを利用する行為を禁じていることを示しています。

攻撃者の視点を防御に活かす考え方や、腰を据えて学ぶための書籍は関連記事で整理しています。

あわせて読みたい

リバースエンジニアリング入門。静的解析と動的解析の基礎を検証環境で安全に学ぶ

なお、ハードウェアを持たずに学びたい場合は、TryHackMeやHack The Boxのように、ブラウザから隔離された演習環境にアクセスできるオンラインのサービスもあります。この記事は手元に自分のラボを持ちたい人に向けて機材を扱っていますが、まず試してみたい段階では、こうしたオンラインの演習も選択肢になります。

始めるためのチェックリスト

自宅ラボを組み始める前に、次の点を確認しておくと安全に進められます。

自宅ラボを始める前の確認

  • 脆弱なVMやマルウェアVMをホストオンリーか内部ネットワークで隔離し、自宅LANや外部に晒していないか
  • 検体を動かす前の状態をスナップショットに残し、いつでも清浄な状態へ巻き戻せるようにしたか
  • DVWAやMetasploitableなどの脆弱なアプリを、インターネットから到達できる状態に置いていないか
  • 試す手法は自分の管理下か、書面で許可された対象にだけ使うと理解しているか
  • ラボのイメージを外付けSSDなどに退避し、壊れても作り直せるバックアップを用意したか

自宅ラボは、失敗しても巻き戻せる安全な実験場です。隔離と巻き戻し、そして自分の管理下だけで試すという前提さえ守れば、教材を読むだけでは得られない実感を持って、攻撃の仕組みと守り方を学べます。まずは小さな構成から始め、扱う分野が広がるにつれてメモリやストレージを足していくと、無理なくラボを育てられます。学びを次の一歩へつなげたい人は、体系立てて知識を補える書籍を関連記事で整理しています。

あわせて読みたい

Webセキュリティを学ぶ人へ。体系的に学べるおすすめ書籍と読む順番

出典・参考

この記事をシェア

関連する記事

ペンテスト・CTF

ペネトレーションテストの進め方と報告書の書き方。スコープ・許可・手順・報告を実務目線で整理する

ペネトレーションテストを安全かつ価値あるものにするための進め方を、スコープ定義・許可取得・実施手順・報告書作成の順に実務目線で解説します。PTESやNIST SP 800-115を参照し、許可された対象でのみ行う前提と関連法令への注意も具体的に整理します。