認定脆弱性診断士とは?
本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト (代表 上野 宣 氏)がスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。
- 人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成など
- 発注関連分野:入札仕様、診断サービス依頼先の選定
脆弱性診断の知識や技術をより多くの人に
専門職のイメージがあるかもしれません。
日本でも多くの脆弱性診断士の方が、企業の情報システムやWebサービスの脆弱性(セキュリティ上の欠陥)の有無をテストし、システムのセキュリティ向上に貢献しています。
しかし、システムの脆弱性をチェックする知識や技術は、専門職の方だけでなく、システムのオーナーや開発者、品質管理者にとっても非常に有益だと考えています。
上野 宣 氏による全面監修
確認することができる
世の中にはさまざまな安全基準や対策がありますが、Webアプリケーションやネットワークシステムはそれらを無視して稼動させることができてしまいます。今や社会インフラともなったサイバー空間で稼動するシステムは、単に動いていれば良い、便利であれば良い、儲かれば良いというだけではなく、情報や資産を安全に扱うことができ、脅威から守ることができるシステムである必要があります。そのシステムが必要とする安全性を確認することができる人、それが「脆弱性診断士」です。
脆弱性診断には「自分たちのシステムが十分に安全であるかを確認するという検査的な側面」、そして「利用者が安全・安心できるシステムであるかを保証するという監査的な側面」があります。どちらにしても、そのシステムに求められているレベルの安全性を持っていることを調査できる能力が必要になります。しかし、脆弱性診断を行う人がその能力を持っていることを示したり、第三者がその能力を知ることは容易ではありませんでした。
それを容易にする手段の1つが「資格」です。認定脆弱性診断士があることにより、システムが十分な安全性が持っているかを確かめる診断能力があることを第三者に示すことができるようになります。そして、認定脆弱性診断士が増えることで、多くのシステムが十分なレベルの脆弱性診断を行うことができるようになります。それによってサイバー空間が安全になり、より良い社会インフラになることを期待しています。
UENO Sen
2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。 OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。
代表者略歴はこちら
脆弱性診断士
公式トレーニング
セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
● 脆弱性診断を内製化に取り組みたい開発会社など
● 脆弱性診断要員の教育を外注化したい開発会社や診断会社
イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
● Webアプリケーションのセキュリティ要件の定義や評価をする方
● Webアプリケーションの開発者
● Webアプリケーションのテスト担当者
● 品質管理担当者
- Webシステム・Webアプリケーション脆弱性についての知識を得る
- 脆弱性を発見するための手段やツールについての知識を得る
- 脆弱性かどうかを判定する基準が判る
- 発見した脆弱性をどのように報告すればよいか判る
・脆弱性とセキュリティ機能の不足
・Webサイトへの攻撃とその特徴
・HTTPの基礎
・Webアプリケーションへの攻撃手法
脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断
脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習
| 試験問題数 | 30問 |
|---|---|
| 時間 | 60分 |
| 試験会場 | 全国のテストセンター |
| 資格有効期限 | 3年 |
| 出題範囲 | 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク |
※試験は3月から開始予定
脆弱性診断士
公式トレーニング
ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
● 脆弱性診断を内製化に取り組みたい開発会社など
● 脆弱性診断要員の教育を外注化したい開発会社や診断会社
イントラネット/インターネット向けのネットワークシステムに関わる方
● ネットワークシステムのセキュリティ要件の定義や評価をする方
● ネットワークシステムの構築担当者
● ネットワークシステムのテスト担当者
● 品質管理担当者
- ネットワークシステムの脆弱性に関する知識を得る
- どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
- 脆弱性を発見するための手段やツールについての知識がない
- 発見した脆弱性がどのぐらいのリスクなのかが判る
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任
フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック
ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー
セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認
レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価
| 試験問題数 | 30問 |
|---|---|
| 時間 | 60分 |
| 試験会場 | 全国のテストセンター |
| 資格有効期限 | 3年 |
| 出題範囲 | 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク |
※試験は3月から開始予定
トレーニングの受講費用は先払いですか?受講後の後払いですか?
ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します(トレーニングの受講費用は先払いとなります)。詳細はお申し込み後に、事務局よりご案内させていただきます。
コースの締め切りは開催日の何日前になりますか?
申し込みの締め切りは、コース開催日の10営業日前となります。
コース受講の支払いスキームにはどのような選択肢がありますか?クレジットカード払いは可能ですか?
事務局から発行するご請求書がベースになります。クレジットカード払いは現在調整中となりますので、近い将来決済方法の一つとしてご選択できるようになる予定です。
| 主催 | グローバルセキュリティエキスパート株式会社 | |
|---|---|---|
| 受講料 | 講座+試験|200,000円(税別) | |
| 開催場所 | オンライン(ライブ配信) | |
| 開催期間 | 2日間|10:00~18:00 | |
| 定員 | 20名/回(最小開催人数5名) | |
| 備考 |
|
|
| 開催日程 |
認定Webアプリケーション脆弱性診断士 2020年12月8日(火)・9日(水) |
認定ネットワーク脆弱性診断士 2020年12月17日(木)・18日(金) 空席あり |
|
受付終了
|
申し込む | |
|
2021年1月14日(木)・15日(金) 空席あり |
2021年1月12日(火)・13日(水) 空席あり |
|
| 申し込む | 申し込む | |
|
2021年2月12日(金)・15日(月) 空席あり |
2021年2月22日(月)・24日(水) 空席あり |
|
| 申し込む | 申し込む | |
|
2021年3月2日(火)・3日(水) 空席あり |
2021年3月18日(木)・19日(金) 空席あり |
|
| 申し込む | 申し込む | |