セキュリスト|認定脆弱性診断士
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、GSXが開発した教育カリキュラムです。
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、脆弱性診断演習環境も備えたGSXが独自開発した教育カリキュラムです。
システムのセキュリティ強化に不可欠な「脆弱性診断士」
認定脆弱性性診断士は、JNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト(代表 上野 宣 氏)」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。
脆弱性診断に必要な知識とスキルを体系立てたトレーニングコースで習得した後に、資格試験を通じて認定資格を取得します。適切な知識とスキルを有した技術者であることを証明します。
「脆弱性診断の内製化に取り組みたい」「社内に脆弱性に関する知識を持つ人材が欲しい」などをお考えの企業に最適なサービスです。インターネット・イントラネット向けのWebシステムやWebアプリケーション、ネットワークシステムに関わる方の受講をおすすめします。
-
脆弱性診断に必要な技術の保有を裏付ける国内初唯一の認定資格
ハンズオンで習得した実地診断スキルを明確にはかる認定試験で、資格保持者の実務能力を認定します。
-
必要なスキルを体系だったカリキュラムと認定資格で証明
「脆弱性診断」に必要な知識とスキルを明確化することで客観的な評価が可能に。適切な技術保持者であることを証明します。
-
情報セキュリティに専門特化した3者が開発した実務直結型の認定プログラム
情報セキュリティ領域で事業を展開するGSX、トライコーダ、EGセキュアソリューションズの3者が協力して開発。企業が自衛力をつけるための、実践的な内容で構成されています
認定脆弱性診断士は、自身も腕利きの脆弱性診断士でありぺネストレーションテスターでもある、脆弱性診断の第一人者・上野 宣 氏が全面監修した認定教育カリキュラムです。同氏が代表を務めるJNSA-ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。 上野 宣 氏のプロフィールはこちら
認定資格を通じて「脆弱性診断士」として認定されるため、脆弱性診断に必要な知識・スキルを保有した技術人材であることを客観的に証明します。
・人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの育成など
・発注関連分野:入札仕様、診断サービス依頼先の選定など
また、自社内に「脆弱性診断士」を確保することで、必要なタイミングでいつでもWebやネットワークシステムの脆弱性を確認し、最適なセキュリティ状況を維持することが可能です。
脆弱性診断士
公式トレーニング
セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
● 脆弱性診断を内製化に取り組みたい開発会社など
● 脆弱性診断要員の教育を外注化したい開発会社や診断会社
イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
● Webアプリケーションのセキュリティ要件の定義や評価をする方
● Webアプリケーションの開発者
● Webアプリケーションのテスト担当者
● 品質管理担当者
- Webシステム・Webアプリケーション脆弱性についての知識を得る
- 脆弱性を発見するための手段やツールについての知識を得る
- 脆弱性かどうかを判定する基準が判る
- 発見した脆弱性をどのように報告すればよいか判る
・HTTPの基礎
・Webアプリケーションへの攻撃手法
-SQLインジェクション
-コマンドインジェクション
-CRLFインジェクション
-クロスサイトスクリプティング(XSS)
-CSSインジェクション
-Relative Path Overwrite
-サーバサイドテンプレートインジェクション(SSTi)
-パストラバーサル
-ファイルアップロードに関する不備
-XML外部エンティティ参照(XXE)
-オープンリダイレクト
-シリアライズされたオブジェクト
-サーバサイドリクエストフォージェリ(SSRF)
-クロスサイトウェブソケットハイジャッキング(CSWSH)
-クリックジャッキング
-認証
-セッション管理の不備
-認可制御の不備
-クロスサイトリクエストフォージェリ(CSRF)
-情報漏えい
-サーバーソフトウェアの設定の不備
-公開不要な機能・ファイル・ディレクトリの存在
-既知の脆弱性
脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断
脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習
脆弱性診断士
公式トレーニング
ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
● 脆弱性診断を内製化に取り組みたい開発会社など
● 脆弱性診断要員の教育を外注化したい開発会社や診断会社
イントラネット/インターネット向けのネットワークシステムに関わる方
● ネットワークシステムのセキュリティ要件の定義や評価をする方
● ネットワークシステムの構築担当者
● ネットワークシステムのテスト担当者
● 品質管理担当者
- ネットワークシステムの脆弱性に関する知識を得る
- どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
- 脆弱性を発見するための手段やツールについての知識がない
- 発見した脆弱性がどのぐらいのリスクなのかが判る
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任
フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック
ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー
セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認
レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価
セキュリスト(SecuriST)® 認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか?
|
累計受講者数(2020年11月~)※2022年5月時点 |
累計資格ホルダー数(2021年3月~)※2022年5月時点 |
||
|---|---|---|---|
|
認定ネットワーク脆弱性診断士 受講者数 |
374名 |
認定ネットワーク脆弱性診断士 資格ホルダー数 |
83名 |
|
認定Webアプリケーション脆弱性診断士 受講者数 |
409名 |
認定Webアプリケーション脆弱性診断士 資格ホルダー数 |
123名 |
トレーニングの受講費用は先払いですか?受講後の後払いですか?
ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します(トレーニングの受講費用は先払いとなります)。詳細はお申し込み後に、事務局よりご案内させていただきます。
※ご請求先が過去にお取引のある法人様の場合は、ご受講月末締めの翌月末払いとなります。ご請求書はご受講月の月末までに送付いたします。
コースの締め切りは開催日の何日前になりますか?
申し込みの締め切りは、コース開催日の10営業日前となります。
コース受講の支払いスキームにはどのような選択肢がありますか?
事務局から発行するご請求書のほかに、個人でお申込みのお客様向けに
・分割払い(最大36回)
・受講後翌々月末払い
をご用意しております。詳しくはお問い合わせください。
※SMBCファイナンスサービス株式会社の審査の後、ご利用確定となります。
受講概要
| 主催 | グローバルセキュリティエキスパート株式会社 | |
|---|---|---|
| 受講料 | 講座+試験|220,000円(税込) | |
| 開催場所 | オンライン(ライブ配信) | |
| 開催期間 | 2日間|10:00~18:00 | |
| 定員 | 20名/回(最小開催人数5名) | |
| 備考 |
|
|
| 開催日程 |
認定Webアプリケーション脆弱性診断士 |
認定ネットワーク脆弱性診断士 |
|
2022年7月21日(木)・22日(金) 受付終了 |
2022年7月13日(水)・14日(木) 受付終了 |
|
申し込む
| 申し込む
|
|
|
2022年8月18日(木)・19日(金) 空席あり |
2022年8月15日(月)・16日(火) 受付終了 |
|
| 申し込む | 申し込む
|
|
|
2022年9月15日(木)・16日(金) 空席あり |
2022年9月26日(月)・27日(火) 空席あり |
|
| 申し込む | 申し込む | |
|
2022年10月24日(月)・25日(火) 空席あり |
2022年10月17日(月)・18日(火) 空席あり |
|
| 申し込む | 申し込む | |
|
2022年11月28日(月)・29日(火) 空席あり |
2022年11月21日(月)・22日(火) 空席あり |
|
| 申し込む | 申し込む | |
|
2022年12月19日(月)・20日(火) 空席あり |
2022年12月14日(水)・15日(木) 空席あり |
|
| 申し込む | 申し込む | |
受験概要
| 試験問題数 | 30問 | |
|---|---|---|
| 試験時間 | 60分 | |
| 試験会場 | 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) ) | |
| 資格有効期限 | 3年 | |
| 出題範囲 |
認定Webアプリケーション脆弱性診断士試験 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク |
認定ネットワーク脆弱性診断士試験 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク |
| 試験申込 |
|
|
|
認定Webアプリケーション脆弱性診断士試験 |
認定ネットワーク脆弱性診断士試験 |
|
| 申し込む | 申し込む | |
試験のみ受験される方
| 受験料 | 29,700円(税込) | |
|---|---|---|
| 試験問題数 | 30問 | |
| 試験時間 | 60分 | |
| 試験会場 | 全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) ) | |
| 資格有効期限 | 3年 | |
| 出題範囲 |
認定Webアプリケーション脆弱性診断士試験 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク |
認定ネットワーク脆弱性診断士試験 公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク |
| 試験申込 |
|
|
|
認定Webアプリケーション脆弱性診断士試験 |
認定ネットワーク脆弱性診断士試験 |
|
| 申し込む | 申し込む | |
コースのご案内
お問い合わせ
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
導入事例
サワイグループホールディングス株式会社様
サワイグループホールディングス株式会社様は、情報セキュリティ対策に関する運用負荷の増大を改善するため、自動的に怪しい行動を検知し、情報漏洩リスクの極小化や不正アクセス対策の強化などを実現する次世代SIEMプラットフォームExabeamを導入されました。
ディップ株式会社様
ディップ株式会社様は、クラウドサービスの業務利用の拡大によって境界防御に課題を感じ、課題解決のためにGSXから提案した CrowdStrike Falcon / MDR サービスを導入されました。
ビジネスブレイン太田昭和様
株式会社ビジネスブレイン太田昭和様は、情報セキュリティアセスメントを行った結果、ログの監視・分析・管理・蓄積を行う基盤の構築が重要課題として抽出され、GSXから提案した次世代 SIEM プラットフォーム Exabeam を導入されました。
セミナー・イベント
【トレノケート/Top Out Human Capital/GSX共催ウェビナー|EC-Council公式トレーニング】
今なぜこんなにもファストフォレンジックが官公庁、企業、IT企業に必要とされるのだろうか? ~デジタルフォレンジックCHFIv10を通して体得できること~
開催日時:2022年8月2日(火)11時00分~12時00分
【クラウドストライク/GSX共催ウェビナー】
実効性のあるエンドポイントセキュリティは「脅威の可視化」がカギ ~マルウェア被害から守る「Falcon Prevent+Control&Respond」キャンペーンのご紹介~
開催日時:2022年7月28日(木)11時00分~12時00分
【モンスターラボ/NRIセキュアテクノロジーズ/グローバルセキュリティエキスパート共催ウェビナー】