セキュリスト(SecuriST)®

セキュリスト|認定脆弱性診断士

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、GSXが開発した教育カリキュラムです。

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、脆弱性診断演習環境も備えたGSXが独自開発した教育カリキュラムです。

システムのセキュリティ強化に不可欠な「脆弱性診断士」

脆弱性診断には、システムが十分に安全であるかを確認する「検査的な側面」と、安心して利用できるシステムであるかを保証する「監査的な側面」があります。しかし、脆弱性を洗い出すために必要な技術やスキルは明示されておらず、さらに確認した技術者がシステムの安全を保障できるだけのスキルを有しているかを第三者が判断するのは困難でした。そこでGSXは、システムの脆弱性を判断する各種項目と判断に必要な知識・スキルを明確化、認定資格制度とすることで、システムの安全性を証明するひとつの指標を策定しました。
01

認定脆弱性性診断士は、JNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト(代表 上野 宣 氏)」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。

02

脆弱性診断に必要な知識とスキルを体系立てたトレーニングコースで習得した後に、資格試験を通じて認定資格を取得します。適切な知識とスキルを有した技術者であることを証明します。

03

「脆弱性診断の内製化に取り組みたい」「社内に脆弱性に関する知識を持つ人材が欲しい」などをお考えの企業に最適なサービスです。インターネット・イントラネット向けのWebシステムやWebアプリケーション、ネットワークシステムに関わる方の受講をおすすめします。

  • 脆弱性診断に必要な技術の保有を裏付ける国内初唯一の認定資格

    脆弱性診断に必要な技術の保有を裏付ける国内初唯一の認定資格

    ハンズオンで習得した実地診断スキルを明確にはかる認定試験で、資格保持者の実務能力を認定します。

  • 必要なスキルを体系だったカリキュラムと認定資格で証明

    必要なスキルを体系だったカリキュラムと認定資格で証明

    「脆弱性診断」に必要な知識とスキルを明確化することで客観的な評価が可能に。適切な技術保持者であることを証明します。

  • 情報セキュリティに専門特化した3者が開発した実務直結型の認定プログラム

    情報セキュリティに専門特化した3者が開発した実務直結型の認定プログラム

    情報セキュリティ領域で事業を展開するGSX、トライコーダ、EGセキュアソリューションズの3者が協力して開発。企業が自衛力をつけるための、実践的な内容で構成されています

認定脆弱性診断士は、自身も腕利きの脆弱性診断士でありぺネストレーションテスターでもある、脆弱性診断の第一人者・上野 宣 氏が全面監修した認定教育カリキュラムです。同氏が代表を務めるJNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。 上野 宣 氏のプロフィールはこちら

上野 宣 氏

認定資格を通じて「脆弱性診断士」として認定されるため、脆弱性診断に必要な知識・スキルを保有した技術人材であることを客観的に証明します。

・人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの育成など
・発注関連分野:入札仕様、診断サービス依頼先の選定など

また、自社内に「脆弱性診断士」を確保することで、必要なタイミングでいつでもWebやネットワークシステムの脆弱性を確認し、最適なセキュリティ状況を維持することが可能です。

導入のメリット
認定Webアプリケーション
脆弱性診断士
公式トレーニング
Certified SecuriST for Web application Security Testing

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社


イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
 ● Webアプリケーションのセキュリティ要件の定義や評価をする方
 ● Webアプリケーションの開発者
 ● Webアプリケーションのテスト担当者
 ● 品質管理担当者

  • Webシステム・Webアプリケーション脆弱性についての知識を得る
  • 脆弱性を発見するための手段やツールについての知識を得る
  • 脆弱性かどうかを判定する基準が判る
  • 発見した脆弱性をどのように報告すればよいか判る
Webサイトへの攻撃とその特徴Webアプリケーションの脅威とその攻撃手法
・HTTPの基礎
・Webアプリケーションへの攻撃手法
-SQLインジェクション
-コマンドインジェクション
-CRLFインジェクション
-クロスサイトスクリプティング(XSS)
-CSSインジェクション
-Relative Path Overwrite
-サーバサイドテンプレートインジェクション(SSTi)
-パストラバーサル
-ファイルアップロードに関する不備
-XML外部エンティティ参照(XXE)
-オープンリダイレクト
-シリアライズされたオブジェクト
-サーバサイドリクエストフォージェリ(SSRF)
-クロスサイトウェブソケットハイジャッキング(CSWSH)
-クリックジャッキング
-認証
-セッション管理の不備
-認可制御の不備
-クロスサイトリクエストフォージェリ(CSRF)
-情報漏えい
-サーバーソフトウェアの設定の不備
-公開不要な機能・ファイル・ディレクトリの存在
-既知の脆弱性


脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断


脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習
認定ネットワーク
脆弱性診断士
公式トレーニング
Certified SecuriST for Network Security Testing

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社


イントラネット/インターネット向けのネットワークシステムに関わる方
 ● ネットワークシステムのセキュリティ要件の定義や評価をする方
 ● ネットワークシステムの構築担当者
 ● ネットワークシステムのテスト担当者
 ● 品質管理担当者

  • ネットワークシステムの脆弱性に関する知識を得る
  • どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
  • 脆弱性を発見するための手段やツールについての知識がない
  • 発見した脆弱性がどのぐらいのリスクなのかが判る
ネットワーク脆弱性診断の基礎知識
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任


フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック


ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
アカウントの検査
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー


セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認


レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価
よくあるご質問

セキュリスト(SecuriST)® 認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか?

累計受講者数(2020年11月~)※2022年5月時点

累計資格ホルダー数(2021年3月~)※2022年5月時点

認定ネットワーク脆弱性診断士 受講者数

374名

認定ネットワーク脆弱性診断士 資格ホルダー数

83名

認定Webアプリケーション脆弱性診断士 受講者数

409名

認定Webアプリケーション脆弱性診断士 資格ホルダー数

123名

トレーニングの受講費用は先払いですか?受講後の後払いですか?

ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します(トレーニングの受講費用は先払いとなります)。詳細はお申し込み後に、事務局よりご案内させていただきます。
※ご請求先が過去にお取引のある法人様の場合は、ご受講月末締めの翌月末払いとなります。ご請求書はご受講月の月末までに送付いたします。

コースの締め切りは開催日の何日前になりますか?

申し込みの締め切りは、コース開催日の10営業日前となります。

コース受講の支払いスキームにはどのような選択肢がありますか?

事務局から発行するご請求書のほかに、個人でお申込みのお客様向けに
・分割払い(最大36回)
・受講後翌々月末払い
をご用意しております。詳しくはお問い合わせください

※SMBCファイナンスサービス株式会社の審査の後、ご利用確定となります。

受講概要

主催 グローバルセキュリティエキスパート株式会社
受講料 講座+試験|220,000円(税込)
開催場所 オンライン(ライブ配信)
開催期間 2日間|10:00~18:00
定員 20名/回(最小開催人数5名)
備考
  • 専用テキスト
  • 演習用環境
  • 認定試験1回
開催日程

認定Webアプリケーション脆弱性診断士
公式トレーニング

認定ネットワーク脆弱性診断士
公式トレーニング

2022年7月21日(木)・22日(金) 受付終了

2022年7月13日(水)・14日(木) 受付終了

2022年8月18日(木)・19日(金) 空席あり

2022年8月15日(月)・16日(火) 受付終了

申し込む

2022年9月15日(木)・16日(金) 空席あり

2022年9月26日(月)・27日(火) 空席あり
※2022年9月12日(月)・13日(火)は満員御礼

申し込む 申し込む

2022年10月24日(月)・25日(火) 空席あり

2022年10月17日(月)・18日(火) 空席あり

申し込む 申し込む

2022年11月28日(月)・29日(火) 空席あり

2022年11月21日(月)・22日(火) 空席あり

申し込む 申し込む

2022年12月19日(月)・20日(火) 空席あり

2022年12月14日(水)・15日(木) 空席あり

申し込む 申し込む

受験概要

試験問題数 30問
試験時間 60分
試験会場 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
資格有効期限 3年
出題範囲

認定Webアプリケーション脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

認定ネットワーク脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク

試験申込
  • ※試験の日程は、テストセンターの空き状況に応じて選択いただけます。
  • ※「講座+試験」のセットプランでお申し込みされている方は、試験申込の際に、お支払画面で「受験チケット」を選択の上、 GSX事務局より案内される受験チケット番号(14桁のコード)をご入力ください。

認定Webアプリケーション脆弱性診断士試験

認定ネットワーク脆弱性診断士試験

申し込む 申し込む

試験のみ受験される方

受験料 29,700円(税込)
試験問題数 30問
試験時間 60分
試験会場 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
資格有効期限 3年
出題範囲

認定Webアプリケーション脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

認定ネットワーク脆弱性診断士試験

公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク

試験申込
  • ※2021年2月15日より下記の「申し込む」のボタンより申込受付を開始いたします。
  • ※試験の日程は、2021年3月15日以降の日程から空き状況に応じて選択いただけます。

認定Webアプリケーション脆弱性診断士試験

認定ネットワーク脆弱性診断士試験

申し込む 申し込む
【日立ソリューションズ×NEC×GSX】今の時代に求められる「セキュリティ人財」とは いまや「ゼロトラスト」は“企業の武器”だ――エンジニアも営業職も いま企業がセキュリティを学ぶワケ 脆弱性診断 設計書レビューは、お客様所有の設計書をベースに、必要に応じてお客様へヒアリングさせていただき、その内容を「セキュリティ要件が適切に考慮されているか」という観点から専門エンジニアが分析し、お客様環境を考慮した最適な報告・助言・提言をします。 上野宣氏、辻伸弘氏、徳丸浩氏も参画 国産のセキュリティ資格「SecuriST」が登場 DX時代を担うセキュリティ人材の育成を支援 世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男 VexとSecuriSTふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」~ユービーセキュア観堂社長とGSX青柳社長の狙い~

コースのご案内

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。