GSX、セキュリスト（SecuriST）認定脆弱性診断士の認定試験日程を公開へ
～認定試験問題の監修には上野宣氏、徳丸浩氏、辻伸弘氏が参画～

グローバルセキュリティエキスパート株式会社（本社：東京都港区海岸1-15-1、代表取締役社長：青柳 史郎、https://www.gsx.co.jp/、以下、GSX）は、セキュリスト（SecuriST）認定脆弱性診断士で提供する認定試験の日程を公開しました。
昨年12月より開講しているセキュリスト（SecuriST）認定脆弱性診断士は、2つのトレーニングと認定試験で構成されています。認定脆弱性診断士は、情報システムのセキュリティテスト（脆弱性診断）に必要な技術やスキルを、ハンズオン含むトレーニングで身に着け、さらにそのスキルを認定試験で認定するGSXオリジナル提供の仕組みとなり、この度認定試験をご提供する運びとなりました。
セキュリスト（SecuriST）認定脆弱性診断士の試験問題監修には、株式会社トライコーダ代表取締役の上野宣 氏、EGセキュアソリューションズ株式会社代表取締役の徳丸浩 氏、SBテクノロジー株式会社プリンシパルセキュリティリサーチャーの辻伸弘 氏が参画しており、認定試験問題については、脆弱性に関する原理原則に則り、診断士素養スキルの可視化、第三者指標（脆弱性診断士スキルマッププロジェクト）に沿った網羅性など、公平かつ客観的な構成を監修しています。

本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG（WG1）、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクトがスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定Webアプリケーション脆弱性診断士試験及び認定ネットワーク脆弱性診断士試験は、株式会社シー・ビー・ティ・ソリューションズ（CBT-Solutions）が提供する「CBT（コンピュータによる）全国随時試験運営委託サービス」を通じてご提供させていただきます。GSX主催の認定脆弱性診断士講座に受講されたお客様をはじめ、どなたでも認定試験を受験することができます。
2021年2月15日より試験申込受付を開始し、2021年3月15日より順次試験を開始します。詳しくは以下URLより試験概要、受験料・お支払方法、お問合せ先をご確認ください。

◆SecuriST 認定Webアプリケーション脆弱性診断士試験
　https://cbt-s.com/examinee/examination/securistweb.html

◆SecuriST 認定ネットワーク脆弱性診断士試験
　https://cbt-s.com/examinee/examination/securist.html

以下、認定試験の詳細内容を一部明記させていただきます。

試験問題数	30問
時間	60分
試験会場	全国のテストセンター （株式会社シー・ビー・ティ・ソリューションズ[CBT-Solutions]）
資格有効期限	3年
出題範囲	・認定Webアプリケーション脆弱性診断士試験 　公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（Webアプリケーション）スキルマップ＆シラバスの「Silver」 ランク ・認定ネットワーク脆弱性診断士試験 　公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（プラットフォーム）スキルマップ＆シラバスの「Silver」 ランク
受験料	・GSX主催の認定脆弱性診断士講座を受講される方 　講座費用＋試験費用：200,000円（税別） 　※講座を受講された方へ、受験チケットを配布いたします。 ・認定脆弱性診断士試験のみ受験される方、および再試験を受験される方 　試験費用：27,000円（税別）

「脆弱性診断」というと、セキュリティ会社が提供するプロフェッショナルなサービスだと思われていて、開発会社などが自分たち自身で実施するということはあまり考えられていませんでした。機能テストや性能テストは自分たちで実施することが多いのに、セキュリティ性能のテストである「脆弱性診断」だけは自分たちで行わないというのが現状です。
自分たちで開発したソフトウェアやサービスなのに、そのセキュリティについては自分たちでは十分に検証されていないこともしばしばありました。

セキュリティ性能のテストの難しい点は「正解がわかりにくいこと」です。
「このシステムに脆弱性がないことを証明して下さい」と言われても、脆弱性診断のプロでも「脆弱性が”ないこと”の証明」は悪魔の証明（存在しないことを証明する）で相当困難なのです。
しかし、テストですので「どの程度、安全にするべきか？」という正解が必要になります。

その正解を知り、テストを行うことができるのが「セキュリスト（SecuriST） 認定脆弱性診断士」です。
システムに対する攻撃手法や脆弱性について知り、正しい手法でテストを行い、結果を基にしてリスクを判別する。そしてその問題点を的確に伝えて安全なシステムに導く。これが脆弱性診断士の仕事です。
これを一定の品質で提供できることを示す指標として、認定脆弱性診断士の資格を持っていることが1つの判断材料となるでしょう。

脆弱性診断サービスを提供するセキュリティ会社にとっては、自社のサービスが一定の品質を持っているものであることを認定脆弱性診断士の有資格者が診断していることで示すことができます。
また、開発者自身が脆弱性診断を実施する際にも正しくセキュリティ性能のテストを行えていることを有資格者が診断していることで示すことができます。

脆弱性診断はシステムの「安全」だけではなく、利用者に「安心」も提供するために必要なテストだと考えています。
サイバー空間はまだ安全であると言える状況ではありません。「セキュリスト（SecuriST） 認定脆弱性診断士」によって脆弱性診断の技術が普及し、システム開発の際には当たり前のように実施されることでサイバー空間を安全にし、それを利用する人々に安心を提供する一助になることを願っています。

株式会社トライコーダ
代表取締役 上野 宣

私は、侵入テスト（ペネトレーションテスト）や脆弱性診断というものがあると知人に教えてもらったことがきっかけで、その仕事がしたいという一心で18年前に上京しました。上京した当時、毎日が発見で、すべてが新鮮で楽しくて仕方ありませんでした。 しかし、一通り学び、お客様と向き合うようになると様々な壁にぶつかることになります。

私が当時いた組織は大きくなく、名前もそれほど知られた存在ではありませんでした。 診断の質、報告書の質に関しては日々ブラッシュアップを行うなど、改善を常に意識した動きをしていました。しかし、いざ提案するという段階ではネームバリューや価格で判断されてしまうことが多く、肝心の診断の詳細さや質で判断いただけることはなかなかありませんでした。 それもそのはず、診断のクオリティを示すことができるような指標が当時はなかったからです。

色々なお客様とやり取りを重ねて色々な意見を頂戴しました。
多かった意見としては
「診断は受けてみるまでその質が分からない」
「受けてみたはいいが結局何をどれからしていいのか明確にならなかった」
といったものです。

この資格を取得すれば今まで述べたことが一気に解消するわけでは決してありません。
しかし、少なくとも診断を行う側、受ける側双方にある種の問題がクリアになるスタートラインには立てるのではないでしょうか。

私は診断というものに長年関わってきておりますが、診断の本当の価値は報告にあると思っています。単純に危険である可能性を提示し修正するように言えばいいというものではありません。どの脆弱性から優先的に修正していくのか。そして、その理由をしっかりと伝える必要があります。時には運用や予算を加味して修正する箇所を最小限にする提案をしなければいけない場合もあります。杓子定規に機械のように対応するのではなく、人としてお客様に寄り添うことが最も大切なことなのかもしれません。

この試験が今後さらに包括的に診断というものが抱える問題をクリアにしていく道を辿ってくださることを切に願っております。そして、その結果、私たちサイバーセキュリティに関わる人間が今よりも世の中に貢献できる日が一日も早く訪れることを楽しみにしています。

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻 伸弘

社名：グローバルセキュリティエキスパート株式会社
東京本社：〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社：〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル8F
西日本支社名古屋オフィス：〒451-6040 愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者：代表取締役社長　青柳 史郎
証券コード：4417
上場証券取引所：東京証券取引所マザース市場
資本金：485,000,000円
設立：2000年4月
コーポレートサイトURL：https://www.gsx.co.jp/

GSXは、サイバーセキュリティ教育カンパニーです

わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。高い継続率を誇るセキュリティコンサルティングや、長年のノウハウを踏襲した脆弱性診断、豊富なサイバーセキュリティソリューションをはじめ、セキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXは、中堅企業や地方企業を中心としたユーザー様に対し、それぞれに最適なサービスを提供し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。

■ コンサルティング

・マネジメントコンサルティング

お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築に至るまで、 ITのみならずシェアNo.1*のOTセキュリティ領域に関しても一貫した支援をご提供します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」OTセキュリティ診断・構築運用支援サービス市場－従業員300～1,000人未満：ベンダー別売上金額シェア（2019～2021年度予測）

・テクニカルコンサルティング

ハッカーと同様の技術を持つ専門エンジニア（ホワイトハッカー）が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。

■ セキュリティ教育

・企業向けセキュリティ訓練

業界シェアNo.1*であるトラップメール（GSX標的型メール訓練サービス）や、ITセキュリティeラーニングサービスのMina Secure®によって従業員のセキュリティリテラシー向上をご支援します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア(2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－流通業：ベンダー別売上金額シェア（2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－建設業：ベンダー別売上金額シェア(2020～2021年度予測）

・エンジニア向け教育講座

セキュリティ全体像を網羅した業界シェアNo.1*の教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト（SecuriST）® 認定脆弱性診断士」などで、セキュリティ人材を育成します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」セキュリティ教育サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア（2020～2021年度予測）

■ ITソリューション

・バイリンガルITプロフェッショナルサービス

バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。

■ セキュリティソリューション

・サイバーセキュリティ製品導入・運用サービス

最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。

※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

GSX、セキュリスト（SecuriST）認定脆弱性診断士の認定試験日程を公開へ
～認定試験問題の監修には上野宣氏、徳丸浩氏、辻伸弘氏が参画～　(PDF 284KB)