ユービーセキュアとGSX、脆弱性診断士の育成支援で国内のサイバーセキュリティ人材の増加と強化を推進へ

グローバルセキュリティエキスパート株式会社（本社：東京都港区海岸1-15-1、代表取締役社長：青柳 史郎、https://www.gsx.co.jp/、以下、GSX）は、株式会社ユービーセキュア（本社：東京都中央区築地4丁目7番5号、代表取締役社長：観堂 剛太郎、https://www.ubsecure.jp/、以下ユービーセキュア）とともに、ユービーセキュアが提供するVexトレーニングとGSXが提供するセキュリスト（SecuriST）認定資格制度を用いて、国内において数十万人規模で不足していると言われているサイバーセキュリティ人材の育成に加え、すでに活躍しているサイバーセキュリティ人材の実力底上げに貢献します。

「脆弱性診断」は、セキュリティのコアスキルでありながら、今までその診断技術を広くトレーニングする環境や、そのスキルを評価・認定したりする制度は確立されていませんでした。システムの開発・運用に関わる人全員がセキュリティテスト（脆弱性診断）を実施できるようになれば、より早く、より安全に開発や運用ができるようになります。その結果、セキュリティの面からも、DX推進の面からも、よりよい社会の実現に向けた仕組みを推進することが可能になります。

脆弱性診断は、その名称から「難しいもの」「専門家だけが学ぶもの」というイメージを持たれてしまい、エンジニアであっても進んで学ぶ対象と見られてこなかった背景があります。また診断業務を行っている企業内においても、体系化されたトレーニングよりも、OJTと現場経験を重視する風潮が強く、初学者が一人でセキュリティテストを行えるようになるには、大きなハードルがありました。

一方、スキルを評価するという観点からは脆弱性診断を行うエンジニアの技術水準の客観的評価は容易ではなく、海外資格においてペンテスターの評価制度と資格は存在するものの、セキュリティテスト（脆弱性診断）についての広く普及した評価基準は今日存在しません。脆弱性診断やペネトレーションテストを提供する企業の大半が、診断に携わるエンジニアにDEF CONなど国内外のCTFイベントへの参加やJVNへの脆弱性報告、各種バグバウンティへの参加を奨励あるいは業務の一部として積極的に推奨しているという現実があります。これは、そうした活動を通したエンジニアの成長を見込んでいるだけでなく、自社のエンジニアの技術水準を外部や顧客に明示する目的もあり、それは客観的な評価基準が存在しないことの裏返しでもありました。

こうした実態があり、「認定脆弱性診断士」という必要な技倆が定義されました。ユービーセキュアとGSXは、トレーニングや資格というやり方を用いて、認定脆弱性診断士としての知識や技術力の向上を図れるように整備し、先の課題解決に向けて動いています。ユービーセキュアからは、Vexトレーニングと、そのトレーニング受講とVex Certification資格の取得によって相応の技術力を保有していることを示すことができる認定試験の仕組みを整備しました。また、GSXからは、セキュリスト（SecuriST）認定脆弱性診断士トレーニングによって、知識だけでなくハンズオンで繰り返し学べるトレーニングと、身につけたスキルを判定する認定試験の仕組みを整備しました。

この度の取り組みは、国内に依然として山積するサイバーセキュリティ人材に対する課題として掲げられている人材不足*1の解決に加えて、すでに現場で活躍しているサイバーセキュリティ人材のさらなる技術力強化のための育成として、サイバーセキュリティ市場全体へのアウェアネスを高め、ユービーセキュア及びGSXで創出するセキュリティエンジニア自体の母数と技量ある人材を増加する取り組みによって、日本国内のお客様課題解決へ繋がることを意図しています。国内における多くのITエンジニア全般へ、GSXはセキュリスト（SecuriST）認定脆弱性診断士トレーニングの普及、ユービーセキュアはVexトレーニングの普及によって、セキュリティ人材育成に尽力します。

【出典】セキュリティ人材育成の最前線 ～ NICT におけるセキュリティ人材育成事業 ～国立研究開発法人情報通信研究機構（NICT）｜https://www.soumu.go.jp/main_content/000675194.pdf ・我が国の情報セキュリティ人材は、 2020年の時点において 約19.3万人 不足するといわれている　※「IT人材の最新動向と将来推計に関する調査結果」経済産業省商務情報政策局 2016.6.10付
・このうち、 ITベンダー・WEB企業等「ITベンダー側」を除く、 「ITユーザー側」の不足数は約17.8万人 となることが推計される　※不足数に関する数字は、NICTにおいて、前記報告書等を参考とするなどして算出

ユービーセキュアの人材育成の考え方から生まれた製品が、脆弱性診断のためのプロツールであるVex(Vulnerability Explorer)です。優れた脆弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。2007年のリリース以来、弊社診断チームや各セキュリティベンダーからの数千サイトに及ぶ診断実績をフィードバックし、常に進化を続けています。

Vexをご利用いただく皆様が正しく利用し、検査者として必要な知識や技能を習得して使いこなしていただくために、お客様のご要望に合わせたトレーニング方法をご用意しております。

・スタートアップパッケージ：Vexを使った診断内製化を目指すお客様をトータルサポートし、導入から運用までの立ち上げ期間を並走し、手厚くフォロー。
・ハンズオントレーニング：経験豊かな講師によるトレーニングで、脆弱性診断全般の知識も身につけながら、Vexの使い方を一から学びつつ、対面QAでの疑問点解消でじっくり学べる。
・eラーニング：実際に操作できるクラウド上のトレーニング環境で、Vexを動かしながら学べるため忙しい方や、多くの社員に受講させたい企業様におすすめ。

Vexトレーニングについて詳しくはこちらからご覧ください。
https://www.ubsecure.jp/vex/support

DASTツール(Vex)を活用した脆弱性診断を実施するスキルの評価制度です。現在、Entryレベル、Associateレベルと2つのレベルが設定されています。中でもAssociateレベルは、「知識を身に着ける」だけではなく、実務が「出来る」にフォーカスしたトレーニング、認定試験です。実力主義の「出来る」を測定するため、認定試験は脆弱性診断業務をトレースした実技試験で構成されています。
サイバーセキュリティ業界において「実」力を示すことのできる資格として多くの方に資格取得をしていただいています。

認定脆弱性診断士は、情報システムのセキュリティテスト（脆弱性診断）に必要な技術やスキルをハンズオン含むトレーニングで身に着け、さらにそのスキルを認定試験で認定する仕組みになります。
本認定は、JNSA配下の日本セキュリティオペレーション事業者協議会（ISOG-J：Information Security Operation providers Group Japan）のセキュリティオペレーションガイドラインWG（WG1）、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト（代表 上野 宣 氏）で定義しているスキルマップの「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

昨年の開講以来、エンドユーザー企業様をはじめ、SIer企業様、官公庁様、セキュリティ専業企業様など、数多の企業様にご受講いただいています。

➢  認定Webアプリケーションおよび認定ネットワーク脆弱性診断士公式トレーニング受講者インタビュー詳細はこちらから
  　https://www.gsx.co.jp/academy/WebAppNWSecurityTesting/casestudy/

社名：株式会社ユービーセキュア
本社：〒104-0045 東京都中央区築地4丁目7番5号 築地KYビル4階
代表者：代表取締役社長　観堂 剛太郎
資本金：42,000,000円（資本準備金含む）
設立：2007年4月3日
コーポレートサイトURL：https://www.ubsecure.jp/

社名：グローバルセキュリティエキスパート株式会社
東京本社：〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社：〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル8F
西日本支社名古屋オフィス：〒451-6040 愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者：代表取締役社長　青柳 史郎
証券コード：4417
上場証券取引所：東京証券取引所マザース市場
資本金：485,000,000円
設立：2000年4月
コーポレートサイトURL：https://www.gsx.co.jp/

GSXは、サイバーセキュリティ教育カンパニーです

わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。高い継続率を誇るセキュリティコンサルティングや、長年のノウハウを踏襲した脆弱性診断、豊富なサイバーセキュリティソリューションをはじめ、セキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXは、中堅企業や地方企業を中心としたユーザー様に対し、それぞれに最適なサービスを提供し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。

■ コンサルティング

・マネジメントコンサルティング

お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築に至るまで、 ITのみならずシェアNo.1*のOTセキュリティ領域に関しても一貫した支援をご提供します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」OTセキュリティ診断・構築運用支援サービス市場－従業員300～1,000人未満：ベンダー別売上金額シェア（2019～2021年度予測）

・テクニカルコンサルティング

ハッカーと同様の技術を持つ専門エンジニア（ホワイトハッカー）が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。

■ セキュリティ教育

・企業向けセキュリティ訓練

業界シェアNo.1*であるトラップメール（GSX標的型メール訓練サービス）や、ITセキュリティeラーニングサービスのMina Secure®によって従業員のセキュリティリテラシー向上をご支援します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア(2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－流通業：ベンダー別売上金額シェア（2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－建設業：ベンダー別売上金額シェア(2020～2021年度予測）

・エンジニア向け教育講座

セキュリティ全体像を網羅した業界シェアNo.1*の教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト（SecuriST）® 認定脆弱性診断士」などで、セキュリティ人材を育成します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」セキュリティ教育サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア（2020～2021年度予測）

■ ITソリューション

・バイリンガルITプロフェッショナルサービス

バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。

■ セキュリティソリューション

・サイバーセキュリティ製品導入・運用サービス

最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。

※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

ユービーセキュアとGSX、脆弱性診断士の育成支援で国内のサイバーセキュリティ人材の増加と強化を推進へ　(PDF 347KB)