JA  /  EN
TOP ウェビナー サービス 導入事例 会社概要 お問い合わせ
EC-Council公式トレーニングコース
EC-Councilトップ CND CEH CHFI CASE CND/CEH受講インタビュー一覧
パートナー よくあるご質問
教育サービス セキュリスト(SecuriST)認定脆弱性診断士 セキュリスト(SecuriST)®|セキュアWebアプリケーション設計士 セキュリスト(SecuriST)®|ゼロトラストコーディネーター IT人材育成オンライン研修サービスBOOSTA(ブースタ)AI教育×サイバーセキュリティ教育 Micro Hardening:Enterprise Edition 公式 CISSP CBKトレーニング セキュアEggs PCI DSSのための脆弱性スキャン&ネットワーク
ペネトレーションテスト内製化トレーニング
  • ◇累計受講者数(2020年11月~)※2022年5月時点
    ・認定ネットワーク脆弱性診断士 受講者数 374名
    ・認定Webアプリケーション脆弱性診断士 受講者数 409名
認定脆弱性診断士とは? トレーニング詳細 受講概要 受験概要 試験のみ受験される方へのご案内 受講インタビュー

2022/5/26(木)開催のウェビナーにてご紹介させていただきます。
【BBSec/GSX共催ウェビナー】BBSec×GSXショートウェビナー月間

認定脆弱性診断士とは?

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオンを含むトレーニングで身に着け、さらにそのスキルを認定する仕組みです。

本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト (代表 上野 宣 氏)がスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

  • 人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成など
  • 発注関連分野:入札仕様、診断サービス依頼先の選定

脆弱性診断の知識や技術をより多くの人に

「脆弱性診断士」と聞くと、
専門職のイメージがあるかもしれません。

日本でも多くの脆弱性診断士の方が、企業の情報システムやWebサービスの脆弱性(セキュリティ上の欠陥)の有無をテストし、システムのセキュリティ向上に貢献しています。

しかし、システムの脆弱性をチェックする知識や技術は、専門職の方だけでなく、システムのオーナーや開発者、品質管理者にとっても非常に有益だと考えています。

認定脆弱性診断士は、脆弱性診断士のベースラインとしてのスキルを認定することを目的とするとともに、システムに関わるより多くの方がシステムのセキュリティを評価するための知識や技術を習得することを目的としています。

上野 宣 氏による全面監修

システムが必要とする安全性を
確認することができる

世の中にはさまざまな安全基準や対策がありますが、Webアプリケーションやネットワークシステムはそれらを無視して稼動させることができてしまいます。今や社会インフラともなったサイバー空間で稼動するシステムは、単に動いていれば良い、便利であれば良い、儲かれば良いというだけではなく、情報や資産を安全に扱うことができ、脅威から守ることができるシステムである必要があります。そのシステムが必要とする安全性を確認することができる人、それが「脆弱性診断士」です。

脆弱性診断の善し悪しはわかりにくい

脆弱性診断には「自分たちのシステムが十分に安全であるかを確認するという検査的な側面」、そして「利用者が安全・安心できるシステムであるかを保証するという監査的な側面」があります。どちらにしても、そのシステムに求められているレベルの安全性を持っていることを調査できる能力が必要になります。しかし、脆弱性診断を行う人がその能力を持っていることを示したり、第三者がその能力を知ることは容易ではありませんでした。

多くのシステムに十分なレベルの脆弱性診断を

それを容易にする手段の1つが「資格」です。認定脆弱性診断士があることにより、システムが十分な安全性が持っているかを確かめる診断能力があることを第三者に示すことができるようになります。そして、認定脆弱性診断士が増えることで、多くのシステムが十分なレベルの脆弱性診断を行うことができるようになります。それによってサイバー空間が安全になり、より良い社会インフラになることを期待しています。

上野 宣
UENO Sen

2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。 OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。
代表者略歴はこちら

2日間の講座とハンズオンのトレーニング + 1回分の認定資格試験
認定Webアプリケーション
脆弱性診断士
公式トレーニング
Certified SecuriST for Web application Security Testing

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
 ● Webアプリケーションのセキュリティ要件の定義や評価をする方
 ● Webアプリケーションの開発者
 ● Webアプリケーションのテスト担当者
 ● 品質管理担当者

  • Webシステム・Webアプリケーション脆弱性についての知識を得る
  • 脆弱性を発見するための手段やツールについての知識を得る
  • 脆弱性かどうかを判定する基準が判る
  • 発見した脆弱性をどのように報告すればよいか判る
Webアプリケーションの脅威とその攻撃手法
・Webサイトへの攻撃とその特徴
・HTTPの基礎
・Webアプリケーションへの攻撃手法
-SQLインジェクション
-コマンドインジェクション
-CRLFインジェクション
-クロスサイトスクリプティング(XSS)
-CSSインジェクション
-Relative Path Overwrite
-サーバサイドテンプレートインジェクション(SSTi)
-パストラバーサル
-ファイルアップロードに関する不備
-XML外部エンティティ参照(XXE)
-オープンリダイレクト
-シリアライズされたオブジェクト
-サーバサイドリクエストフォージェリ(SSRF)
-クロスサイトウェブソケットハイジャッキング(CSWSH)
-クリックジャッキング
-認証
-セッション管理の不備
-認可制御の不備
-クロスサイトリクエストフォージェリ(CSRF)
-情報漏えい
-サーバーソフトウェアの設定の不備
-公開不要な機能・ファイル・ディレクトリの存在
-既知の脆弱性
脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断

脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習
認定ネットワーク
脆弱性診断士
公式トレーニング
Certified SecuriST for Network Security Testing

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット/インターネット向けのネットワークシステムに関わる方
 ● ネットワークシステムのセキュリティ要件の定義や評価をする方
 ● ネットワークシステムの構築担当者
 ● ネットワークシステムのテスト担当者
 ● 品質管理担当者

  • ネットワークシステムの脆弱性に関する知識を得る
  • どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
  • 脆弱性を発見するための手段やツールについての知識がない
  • 発見した脆弱性がどのぐらいのリスクなのかが判る
ネットワーク脆弱性診断の基礎知識
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任

フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック

ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
アカウントの検査
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー

セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認

レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価
よくあるご質問

セキュリスト(SecuriST)® 認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか?

累計受講者数(2020年11月~)※2022年5月時点

累計資格ホルダー数(2021年3月~)※2022年5月時点

認定ネットワーク脆弱性診断士 受講者数

374名

認定ネットワーク脆弱性診断士 資格ホルダー数

83名

認定Webアプリケーション脆弱性診断士 受講者数

409名

認定Webアプリケーション脆弱性診断士 資格ホルダー数

123名

トレーニングの受講費用は先払いですか?受講後の後払いですか?

ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します(トレーニングの受講費用は先払いとなります)。詳細はお申し込み後に、事務局よりご案内させていただきます。
※ご請求先が過去にお取引のある法人様の場合は、ご受講月末締めの翌月末払いとなります。ご請求書はご受講月の月末までに送付いたします。

コースの締め切りは開催日の何日前になりますか?

申し込みの締め切りは、コース開催日の10営業日前となります。

コース受講の支払いスキームにはどのような選択肢がありますか?

事務局から発行するご請求書のほかに、個人でお申込みのお客様向けに
・分割払い(最大36回)
・受講後翌々月末払い
をご用意しております。詳しくはお問い合わせください
※SMBCファイナンスサービス株式会社の審査の後、ご利用確定となります。

受講概要
主催 グローバルセキュリティエキスパート株式会社
受講料 講座+試験|220,000円(税込)
開催場所 オンライン(ライブ配信)
開催期間 2日間|10:00~18:00
定員 20名/回(最小開催人数5名)
備考
  • 専用テキスト
  • 演習用環境
  • 認定試験1回
開催日程

認定Webアプリケーション脆弱性診断士
公式トレーニング

認定ネットワーク脆弱性診断士
公式トレーニング

2022年4月14日(木)・15日(金) 受付終了

2022年4月18日(月)・19日(火) 受付終了

申し込む
申し込む

2022年5月19日(木)・20日(金) 受付終了

2022年5月16日(月)・17日(火) 受付終了

申し込む
申し込む

2022年6月9日(木)・10日(金) 空席あり

2022年6月6日(月)・7日(火) 空席あり

申し込む 申し込む

2022年7月21日(木)・22日(金) 空席あり

2022年7月13日(火)・14日(水) 空席あり

申し込む 申し込む

2022年8月18日(木)・19日(金) 空席あり

2022年8月15日(月)・16日(火) 空席あり

申し込む 申し込む

2022年9月15日(木)・16日(金) 空席あり

2022年9月12日(月)・13日(火) 空席あり

申し込む 申し込む
受験概要

「講座+試験」のセットプランでお申し込みされている方は、各トレーニングに応じた1回分の認定資格試験が付帯されています。
「試験申込」項目に記載しております各試験の申込サイトのURLからお手続きの際に、事務局から案内される受験チケット番号をご入力ください。

試験問題数 30問
試験時間 60分
試験会場 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
資格有効期限 3年
出題範囲

認定Webアプリケーション脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

認定ネットワーク脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク
試験申込
  • ※2021年2月15日より下記の「申し込む」のボタンより申込受付を開始いたします。
  • ※試験の日程は、2021年3月15日以降の日程から空き状況に応じて選択いただけます。
  • ※「講座+試験」のセットプランでお申し込みされている方は、試験申込の際に、お支払画面で「受験チケット」を選択の上、 GSX事務局より案内される受験チケット番号(14桁のコード)をご入力ください。

認定Webアプリケーション脆弱性診断士試験

認定ネットワーク脆弱性診断士試験
申し込む 申し込む
試験のみ受験される方へのご案内

講座を受講せずに、試験のみ受験していただくことも可能です。再試験や試験のみの受験をご希望の方は、「試験申込」項目に記載しております各試験の申込サイトのURLよりお手続きください。

受験料 29,700円(税込)
試験問題数 30問
試験時間 60分
試験会場 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
資格有効期限 3年
出題範囲

認定Webアプリケーション脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

認定ネットワーク脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク
試験申込
  • ※2021年2月15日より下記の「申し込む」のボタンより申込受付を開始いたします。
  • ※試験の日程は、2021年3月15日以降の日程から空き状況に応じて選択いただけます。

認定Webアプリケーション脆弱性診断士試験

認定ネットワーク脆弱性診断士試験
申し込む 申し込む
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
お電話でお問い合わせ
03-3578-9001
平日受付 09:00~17:30
緊急の方はこちら
03-3578-9055
緊急メール:119@gsx.co.jp
お問い合わせ