認定脆弱性診断士｜セキュリスト（SecuriST）®

セキュリスト｜認定脆弱性診断士

認定脆弱性診断士は、情報システムのセキュリティテスト（脆弱性診断）の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、GSXが開発した教育カリキュラムです。

認定脆弱性診断士は、情報システムのセキュリティテスト（脆弱性診断）の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、脆弱性診断演習環境も備えたGSXが独自開発した教育カリキュラムです。

特長/強み
導入メリット
サービスメニュー

認定脆弱性診断士について

システムのセキュリティ強化に不可欠な「脆弱性診断士」

脆弱性診断には、システムが十分に安全であるかを確認する「検査的な側面」と、安心して利用できるシステムであるかを保証する「監査的な側面」があります。しかし、脆弱性を洗い出すために必要な技術やスキルは明示されておらず、さらに確認した技術者がシステムの安全を保障できるだけのスキルを有しているかを第三者が判断するのは困難でした。そこでGSXは、システムの脆弱性を判断する各種項目と判断に必要な知識・スキルを明確化、認定資格制度とすることで、システムの安全性を証明するひとつの指標を策定しました。

コース概要

認定脆弱性性診断士は、JNSA-ISOG-JのセキュリティオペレーションガイドラインWG（WG1）、およびOWASP　Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト（代表上野宣氏）」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。

脆弱性診断に必要な知識とスキルを体系立てたトレーニングコースで習得した後に、資格試験を通じて認定資格を取得します。適切な知識とスキルを有した技術者であることを証明します。

「脆弱性診断の内製化に取り組みたい」「社内に脆弱性に関する知識を持つ人材が欲しい」などをお考えの企業に最適なサービスです。インターネット・イントラネット向けのWebシステムやWebアプリケーション、ネットワークシステムに関わる方の受講をおすすめします。

認定脆弱性診断士の強み

脆弱性診断に必要な技術の保有を裏付ける国内初唯一の認定資格

ハンズオンで習得した実地診断スキルを明確にはかる認定試験で、資格保持者の実務能力を認定します。
必要なスキルを体系だったカリキュラムと認定資格で証明

「脆弱性診断」に必要な知識とスキルを明確化することで客観的な評価が可能に。適切な技術保持者であることを証明します。
情報セキュリティに専門特化した3者が開発した実務直結型の認定プログラム

情報セキュリティ領域で事業を展開するGSX、トライコーダ、EGセキュアソリューションズの3者が協力して開発。企業が自衛力をつけるための、実践的な内容で構成されています

脆弱性診断の第一人者であるトライコーダ上野宣氏が全面監修

認定脆弱性診断士は、自身も腕利きの脆弱性診断士でありぺネストレーションテスターでもある、脆弱性診断の第一人者・上野宣氏が全面監修した認定教育カリキュラムです。同氏が代表を務めるJNSA-ISOG-JのセキュリティオペレーションガイドラインWG（WG1）、およびOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」が定義する「Silver」レベル相当の知識・技術を保有していることを認定します。上野宣氏のプロフィールはこちら

導入のメリット

認定資格を通じて「脆弱性診断士」として認定されるため、脆弱性診断に必要な知識・スキルを保有した技術人材であることを客観的に証明します。

・人事関係分野：採用基準、能力判定、人事評価基準、セキュリティエンジニアの育成など
・発注関連分野：入札仕様、診断サービス依頼先の選定など

また、自社内に「脆弱性診断士」を確保することで、必要なタイミングでいつでもWebやネットワークシステムの脆弱性を確認し、最適なセキュリティ状況を維持することが可能です。

サービスメニュー

認定Webアプリケーション
脆弱性診断士
公式トレーニング

Certified SecuriST for Web application Security Testing

セキュアなWebサイト構築のためのセキュリティテストとして、適切なWebアプリケーション脆弱性診断の実施が必要なことは知られてきました。しかし、脆弱性診断を自動化するツールはさまざまなものがありますが、自動診断ツールが発見した脆弱性を修正するだけでは不十分です。
これは多くの脆弱性診断会社の診断サービスが、いまだに経験を積んだ診断員の手作業を交えて診断を行っていることからもわかるかと思います。
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
　● 脆弱性診断を内製化に取り組みたい開発会社など
　● 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット／インターネット向けのWebシステム／Webアプリケーションに関わる方
　● Webアプリケーションのセキュリティ要件の定義や評価をする方
　● Webアプリケーションの開発者
　● Webアプリケーションのテスト担当者
　● 品質管理担当者

Webシステム・Webアプリケーション脆弱性についての知識を得る
脆弱性を発見するための手段やツールについての知識を得る
脆弱性かどうかを判定する基準が判る
発見した脆弱性をどのように報告すればよいか判る

Webサイトへの攻撃とその特徴Webアプリケーションの脅威とその攻撃手法
・HTTPの基礎
・Webアプリケーションへの攻撃手法
-SQLインジェクション
-コマンドインジェクション
-CRLFインジェクション
-クロスサイトスクリプティング（XSS）
-CSSインジェクション
-Relative Path Overwrite
-サーバサイドテンプレートインジェクション（SSTi）
-パストラバーサル
-ファイルアップロードに関する不備
-XML外部エンティティ参照（XXE）
-オープンリダイレクト
-シリアライズされたオブジェクト
-サーバサイドリクエストフォージェリ（SSRF）
-クロスサイトウェブソケットハイジャッキング（CSWSH）
-クリックジャッキング
-認証
-セッション管理の不備
-認可制御の不備
-クロスサイトリクエストフォージェリ（CSRF）
-情報漏えい
-サーバーソフトウェアの設定の不備
-公開不要な機能・ファイル・ディレクトリの存在
-既知の脆弱性

脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト（テストケース）の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断

脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習

認定ネットワーク
脆弱性診断士
公式トレーニング

Certified SecuriST for Network Security Testing

ネットワークシステムのセキュリティ上の弱点を発見するには、セキュリティスキャナーなどのツールによる診断は効果的な方法の1つです。
しかし、セキュリティスキャナーで発見できる問題は全体の一部だけです。
実際の攻撃者はもっと多くの情報を収集し、システムを攻撃しようとします。
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。

脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
　● 脆弱性診断を内製化に取り組みたい開発会社など
　● 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット／インターネット向けのネットワークシステムに関わる方
　● ネットワークシステムのセキュリティ要件の定義や評価をする方
　● ネットワークシステムの構築担当者
　● ネットワークシステムのテスト担当者
　● 品質管理担当者

ネットワークシステムの脆弱性に関する知識を得る
どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
脆弱性を発見するための手段やツールについての知識がない
発見した脆弱性がどのぐらいのリスクなのかが判る

ネットワーク脆弱性診断の基礎知識
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任

フットプリンティング／OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック

ポートスキャン／ネットワークスキャン
・ポートスキャン／ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール

アカウントの検査
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー

セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認

レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価

よくあるご質問

セキュリスト（SecuriST）® 認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか？

累計受講者数（2020年11月～）※2023年11月時点		累計資格ホルダー数（2021年3月～）※2023年11月時点
認定ネットワーク脆弱性診断士受講者数	739名	認定ネットワーク脆弱性診断士資格ホルダー数	202名
認定Webアプリケーション脆弱性診断士受講者数	784名	認定Webアプリケーション脆弱性診断士資格ホルダー数	275名

トレーニングの受講費用は先払いですか？受講後の後払いですか？

・ご請求先が個人様の場合：ご希望コース開催日の10営業日前までに当社指定口座へのお振込みとなります。
（10営業日間近にお申込みいただいた場合は、ご受講前に最短でのお支払をお願いしております）
・ご請求先が当社と過去にお取引のある法人様の場合：以前のお取引の際と同様となります。
・ご請求先が当社と新規お取引となる法人様の場合：ご受講前にお支払が必要となる場合は、別途ご連絡させていただきます。
※ご受講後にお支払の法人様へは、ご受講月の月末にご請求書を送付いたします（ご指定の期日がある場合は、別途事務局までご連絡ください）。

コースの締め切り・キャンセル・日程変更の締切日は何日前になりますか？

いずれも10営業日前となります。

コース受講の支払いスキームにはどのような選択肢がありますか？

個人でお申込みのお客様向けに以下のお支払方法をご用意しております（GSX主催日程のみ）。
・分割払い（最大36回）
・受講後翌月末払い、もしくは3か月先まで先送り払い可（1回払い） ※SMBCファイナンスサービス株式会社の審査の後、ご利用確定となります。
ご希望の場合は、受講お申込み時に備考欄に「SMBCファイナンスサービス利用希望」とご記入ください。
その他、ご不明点がございましたら、お問合せフォームよりお問合せください。
利率については実質年率10％となります。
https://www.smbc-fs.co.jp/business/kamei_credit/simulation.html
こちらのURLより金利計算のシミュレーションが出来ます。

①ショッピングクレジットを選択
②通常ローン（実質年率方式）
③それぞれ必須のところを入力（現金価格合計は税込）
にて金利手数料を算出が可能です。

支払い回数は
1回 3回 6回 10回 12回 15回 18回 20回 24回 30回 36回
からご選択いただけます。

脆弱性診断士の演習のためにダウンロードが必要なツールはありますか？

脆弱性診断士の演習で使用するツールはすべて、演習環境内にご用意しておりますので、お客様側でご用意いただくものはございません。

試験に不合格となってしまった場合、再試験までの待機期間はありますか？

待機期間は、ありません。テストセンターの空き状況に応じて、ご予約をお取りいただけます。

試験に不合格となってしまった場合、再試験料はいくらかかりますか？どのように申込めばよいですか？

再試験料は29,700円（税込）となります。お申し込みは、テストセンターへ直接お願いいたします。

認定資格の有効期間はいつまでですか？

試験に合格後3年間となっております。

認定資格の更新にかかる費用と手順を教えてください。

テストセンター（CBTソリューションズ）の試験お申込みサイトから、試験のご予約をお取りいただき、再度試験に合格いただくことで、資格をさらに3年間更新できます。再試験料は29,700円（税込）となります。

受験料は、GSXを経由せず、テストセンターへの直接のお支払となります。

資格更新後の有効期間をどこで確認できますか？

試験合格後に、再度、テストセンター（CBTソリューションズ）の「受験者マイページ」から認定証をダウンロードいただき、記載されている有効期間をご確認ください

受講概要

主催	グローバルセキュリティエキスパート株式会社
受講料	講座＋試験｜220,000円（税込）
開催場所	オンライン（ライブ配信）
開催期間	2日間｜10:00～18:00
定員	20名/回（最小開催人数5名）
備考	専用テキスト演習用環境認定試験1回
開催日程	認定Webアプリケーション脆弱性診断士公式トレーニング	認定ネットワーク脆弱性診断士公式トレーニング

受験概要

試験問題数	30問
試験時間	60分
試験会場	全国のテストセンター（株式会社シー・ビー・ティ・ソリューションズ（CBT-Solutions））
資格有効期限	3年
出題範囲	認定Webアプリケーション脆弱性診断士試験公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（Webアプリケーション）スキルマップ＆シラバスの「Silver」ランク	認定ネットワーク脆弱性診断士試験公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（プラットフォーム）スキルマップ＆シラバスの「Silver」ランク
試験申込	※試験の日程は、テストセンターの空き状況に応じて選択いただけます。 ※受講された方は、試験申込の際に、お支払画面で「受験チケット」を選択の上、 GSX事務局より案内される受験チケット番号（14桁のコード）をご入力ください。
	認定Webアプリケーション脆弱性診断士試験	認定ネットワーク脆弱性診断士試験
	申し込む	申し込む

試験のみ受験される方

受験料	29,700円（税込）
試験問題数	30問
試験時間	60分
試験会場	全国のテストセンター（株式会社シー・ビー・ティ・ソリューションズ（CBT-Solutions））
資格有効期限	3年
出題範囲	認定Webアプリケーション脆弱性診断士試験公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（Webアプリケーション）スキルマップ＆シラバスの「Silver」ランク	認定ネットワーク脆弱性診断士試験公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（プラットフォーム）スキルマップ＆シラバスの「Silver」ランク
試験申込	※2021年2月15日より下記の「申し込む」のボタンより申込受付を開始いたします。 ※試験の日程は、2021年3月15日以降の日程から空き状況に応じて選択いただけます。
	認定Webアプリケーション脆弱性診断士試験	認定ネットワーク脆弱性診断士試験
	申し込む	申し込む