お問い合わせ
受付:平日9:00~17:30
03-3578-9001
緊急のお電話はこちら
03-3578-9055
緊急メール:119@gsx.co.jp
採用情報
JA /  EN

認定脆弱性診断士とは?

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオンを含むトレーニングで身に着け、さらにそのスキルを認定する仕組みです。

本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト (代表 上野 宣 氏)がスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

  • 人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成など
  • 発注関連分野:入札仕様、診断サービス依頼先の選定

脆弱性診断の知識や技術をより多くの人に

「脆弱性診断士」と聞くと、
専門職のイメージがあるかもしれません。

日本でも多くの脆弱性診断士の方が、企業の情報システムやWebサービスの脆弱性(セキュリティ上の欠陥)の有無をテストし、システムのセキュリティ向上に貢献しています。

しかし、システムの脆弱性をチェックする知識や技術は、専門職の方だけでなく、システムのオーナーや開発者、品質管理者にとっても非常に有益だと考えています。

認定脆弱性診断士は、脆弱性診断士のベースラインとしてのスキルを認定することを目的とするとともに、システムに関わるより多くの方がシステムのセキュリティを評価するための知識や技術を習得することを目的としています。

上野 宣 氏による全面監修

システムが必要とする安全性を
確認することができる

世の中にはさまざまな安全基準や対策がありますが、Webアプリケーションやネットワークシステムはそれらを無視して稼動させることができてしまいます。今や社会インフラともなったサイバー空間で稼動するシステムは、単に動いていれば良い、便利であれば良い、儲かれば良いというだけではなく、情報や資産を安全に扱うことができ、脅威から守ることができるシステムである必要があります。そのシステムが必要とする安全性を確認することができる人、それが「脆弱性診断士」です。

脆弱性診断の善し悪しはわかりにくい

脆弱性診断には「自分たちのシステムが十分に安全であるかを確認するという検査的な側面」、そして「利用者が安全・安心できるシステムであるかを保証するという監査的な側面」があります。どちらにしても、そのシステムに求められているレベルの安全性を持っていることを調査できる能力が必要になります。しかし、脆弱性診断を行う人がその能力を持っていることを示したり、第三者がその能力を知ることは容易ではありませんでした。

多くのシステムに十分なレベルの脆弱性診断を

それを容易にする手段の1つが「資格」です。認定脆弱性診断士があることにより、システムが十分な安全性が持っているかを確かめる診断能力があることを第三者に示すことができるようになります。そして、認定脆弱性診断士が増えることで、多くのシステムが十分なレベルの脆弱性診断を行うことができるようになります。それによってサイバー空間が安全になり、より良い社会インフラになることを期待しています。

上野 宣
UENO Sen

2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。 OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。
代表者略歴はこちら

2日間の講座とハンズオンのトレーニング + 1回分の認定資格試験
認定Webアプリケーション
脆弱性診断士
公式トレーニング
Certified SecuriST for Web application Security Testing

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社


イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
 ● Webアプリケーションのセキュリティ要件の定義や評価をする方
 ● Webアプリケーションの開発者
 ● Webアプリケーションのテスト担当者
 ● 品質管理担当者

  • Webシステム・Webアプリケーション脆弱性についての知識を得る
  • 脆弱性を発見するための手段やツールについての知識を得る
  • 脆弱性かどうかを判定する基準が判る
  • 発見した脆弱性をどのように報告すればよいか判る
Webアプリケーションの脅威とその攻撃手法
・脆弱性とセキュリティ機能の不足
・Webサイトへの攻撃とその特徴
・HTTPの基礎
・Webアプリケーションへの攻撃手法


脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断


脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習
試験問題数 30問
時間 60分
試験会場 全国のテストセンター
資格有効期限 3年
出題範囲 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

※試験は3月から開始予定

認定ネットワーク
脆弱性診断士
公式トレーニング
Certified SecuriST for Network Security Testing

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社


イントラネット/インターネット向けのネットワークシステムに関わる方
 ● ネットワークシステムのセキュリティ要件の定義や評価をする方
 ● ネットワークシステムの構築担当者
 ● ネットワークシステムのテスト担当者
 ● 品質管理担当者

  • ネットワークシステムの脆弱性に関する知識を得る
  • どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
  • 脆弱性を発見するための手段やツールについての知識がない
  • 発見した脆弱性がどのぐらいのリスクなのかが判る
ネットワーク脆弱性診断の基礎知識
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任


フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック


ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
アカウントの検査
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー


セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認


レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価
試験問題数 30問
時間 60分
試験会場 全国のテストセンター
資格有効期限 3年
出題範囲 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク

※試験は3月から開始予定

よくあるご質問

トレーニングの受講費用は先払いですか?受講後の後払いですか?

ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します(トレーニングの受講費用は先払いとなります)。詳細はお申し込み後に、事務局よりご案内させていただきます。

コースの締め切りは開催日の何日前になりますか?

申し込みの締め切りは、コース開催日の10営業日前となります。

コース受講の支払いスキームにはどのような選択肢がありますか?クレジットカード払いは可能ですか?

事務局から発行するご請求書がベースになります。クレジットカード払いは現在調整中となりますので、近い将来決済方法の一つとしてご選択できるようになる予定です。

受講概要
主催 グローバルセキュリティエキスパート株式会社
受講料 講座+試験|200,000円(税別)
開催場所 オンライン(ライブ配信)
開催期間 2日間|10:00~18:00
定員 20名/回(最小開催人数5名)
備考
  • 専用テキスト
  • 演習用環境
  • 認定試験1回
開催日程

認定Webアプリケーション脆弱性診断士
公式トレーニング

2020年12月8日(火)・9日(水)

認定ネットワーク脆弱性診断士
公式トレーニング

2020年12月17日(木)・18日(金) 空席あり

申し込む

2021年1月14日(木)・15日(金) 空席あり

2021年1月12日(火)・13日(水) 空席あり

申し込む 申し込む

2021年2月12日(金)・15日(月) 空席あり
※土日を挟むため

2021年2月22日(月)・24日(水) 空席あり
※23日(火)祝日のため

申し込む 申し込む

2021年3月2日(火)・3日(水) 空席あり

2021年3月18日(木)・19日(金) 空席あり

申し込む 申し込む
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。