認定脆弱性診断士とは?

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオンを含むトレーニングで身に着け、さらにそのスキルを認定する仕組みです。

 

本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト (代表 上野 宣 氏)がスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

 ・人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成など

 ・発注関連分野:入札仕様、診断サービス依頼先の選定

 

脆弱性診断の知識や技術をより多くの人に

「脆弱性診断士」と聞くと、専門職のイメージがあるかもしれません。

日本でも多くの脆弱性診断士の方が、企業の情報システムやWebサービスの脆弱性(セキュリティ上の欠陥)の有無をテストし、システムのセキュリティ向上に貢献しています。しかし、システムの脆弱性をチェックする知識や技術は、専門職の方だけでなく、システムのオーナーや開発者、品質管理者にとっても非常に有益だと考えています。

認定脆弱性診断士は、脆弱性診断士のベースラインとしてのスキルを認定することを目的とするとともに、システムに関わるより多くの方がシステムのセキュリティを評価するための知識や技術を習得することを目的としています。

 

講座提供会社:グローバルセキュリティエキスパート株式会社(GSX)

 

脆弱性診断士には次の2種類があります。

コースの特徴

  • ● Webシステム・Webアプリケーション脆弱性についての知識を得る
  • ● 脆弱性を発見するための手段やツールについての知識を得る
  • ● 脆弱性かどうかを判定する基準が判る
  • ● 発見した脆弱性をどのように報告すればよいか判る

全面監修

株式会社トライコーダ 代表取締役
上野 宣
2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。
OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。

コース概要

開講日
2024年5月16日(木)+ 5月17日(金)
2024年6月10日(月)+ 6月11日(火)
2024年7月11日(木)+ 7月12日(金)
2024年8月 8日(木)+ 8月 9日(金)
2024年9月 9日(月)+ 9月10日(火)

※申し込みの締め切りは、コース開催日の10営業日前となります。
コース名
認定Webアプリケーション脆弱性診断士 公式トレーニング
概要
認定Webアプリケーション脆弱性診断士(Web application Security Testing)は、Webアプリケーション脆弱性診断に取り組むために必要な攻撃技術の知識、診断技術や脆弱性判定の基準などを習得、認定することを目的にしています。
学習目標
・Webシステム・Webアプリケーション脆弱性についての知識を得る
・脆弱性を発見するための手段やツールについての知識を得る
・脆弱性かどうかを判定する基準が判る
・発見した脆弱性をどのように報告すればよいか判る
受講形式
オンライン(ライブ配信)
受講対象者
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ● 脆弱性診断を内製化に取り組みたい開発会社など
 ● 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット/インターネット向けのWebシステム/Webアプリケーションに関わる方
 ● Webアプリケーションのセキュリティ要件の定義や評価をする方
 ● Webアプリケーションの開発者
 ● Webアプリケーションのテスト担当者
 ● 品質管理担当者
受講料
講座+試験|220,000円(税込)
学習想定総時間
2日間|10:00~18:00

カリキュラム概要

カリキュラム
概要
学習想定時間(h)
Webアプリケーションの脅威とその攻撃手法
・脆弱性とセキュリティ機能の不足
・Webサイトへの攻撃とその特徴
・HTTPの基礎
・Webアプリケーションへの攻撃手法
脆弱性診断の実施
・Webアプリケーション脆弱性診断の実施手順
・自動と手動の診断手法
・自動診断ツールの得意分野と不得意分野
・注意すべき診断ツールの設定
・診断結果の検証
・診断リスト(テストケース)の作成
・脆弱性診断の診断方法と脆弱性の有無の判定方法
・脆弱性診断の診断対象の選び方
・報告書の作成
・診断会社の業務における脆弱性診断
脆弱性診断演習
・診断ツールのセットアップ
・自動診断ツールの使い方
・手動診断補助ツールの使い方
・各脆弱性に対応した診断方法
・実際の診断業務を想定した演習

資格試験概要

資格名
認定Webアプリケーション脆弱性診断士
(資格有効期限:3年)
受講料
・「講座+試験」のセットプランでお申し込みされている方は、各トレーニングに応じた1回分の認定資格試験が付帯されています。
「試験申込」項目に記載しております各試験の申込サイトのURLからお手続きの際に、事務局から案内される受験チケット番号をご入力ください。

・講座を受講せずに、試験のみ受験していただくことも可能です。再試験や試験のみの受験をご希望の方は、「試験申込」項目に記載しております各試験の申込サイトのURLよりお手続きください。
 ‥受験料:29,700円(10%消費税込) 
 ‥お申込先:https://cbt-s.com/examinee/examination/securistweb.html
実施概要
●実施方法
 ・ピアソン VUE
 ・RPS(Remote Proctoring Service)

●試験詳細
・試験問題数:30問
・試験時間:60分
・試験会場:全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
出題範囲
公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(Webアプリケーション)スキルマップ&シラバスの「Silver」 ランク

導入企業の声

ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

M.Y 様 
Webアプリケーション構築時に最低限必要なセキュリティに関する基礎知識を網羅しており、脆弱性診断士としてだけではなく、アプリケーション開発者にとっても有益と感じました。
当資格はユーザ企業側も持っていると外部に委託した脆弱性診断の結果をスムーズに理解することができ、共通言語として役立つと感じました。
オンライン開催であったため、Zoomと演習環境の2つのウィンドウを頻繁に行き来する必要があったため、最低限デュアルディスプレイ環境で受講したほうがよいと思います。
初めてセキュリティに関する知識を学ぶ方には二日間では消化しきれないと思いますが、演習環境が講座終了後も利用できるので、理解を深められると思います。(もう少し期間が長ければよいかもしれません)

ーーこれからご受講される方々に向けてアドバイスなど一言お願いいたします

M.Y 様 
脆弱性診断を業務として行う方には、一定のスキルレベルを保持していることを証明できることになりますので、これが業界スタンダードになることを願っています。
ユーザ企業として受講される方は、脆弱性診断の診断結果を正しく理解でき、セキュリティベンダー様との共通言語となることで、正しく脆弱性が診断されたかを評価できるようになります。セキュリティに対する意識を向上させるためにもアプリ・インフラを問わずに受講されることをお勧めします。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

K.N 様 
Webアプリの診断項目の作成指針を身に着けることができたのが一番のスキルアップです。
独学で「やられアプリ」を使った脆弱性の調査は実施したことがあったのですが、どのような項目を診断したらいいのか手探りの状態で、診断方法が分からないことが多々ありましたが、本講座を受講したことで診断するべき内容を体系的に理解できました。レベル感については、業務ではWebアプリの開発はしておらず、講義についていけるか不安な面がありましたが、自分にとっては丁度よいレベルでした。


ーーこれからご受講される方々に向けてアドバイスなど一言お願いいたします

K.N 様 
私のようにWeb開発経験がない方には、事前に「やられアプリ」で脆弱性を探してみてから受講されることをお薦めします。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

Y.F 様
代表的なWebアプリケーションに対する攻撃手法とその仕組みについて学ぶことができ、やられサイトを用いた実際の診断方法習得に加えて、脆弱性診断報告書の書き方等、Webアプリケーション診断業務をどのように行うのかが分かる、知識と実践を学べるトレーニングだと思います。
また、本トレーニングでは脆弱性の見つけ方やツールの使い方を詳しく説明いただけるので、初心者の方にも分かりやすく、今後脆弱性対策を行っていく方にとって大変有益な内容だと思います。

ーー最後にこれからご受講される方々に向けてアドバイスなど一言お願いいたします

Y.F 様 
初心者の方にもわかりやすいトレーニング内容になっていますが、開発・運用経験のある方や脆弱性の知識をある程度有している方であれば、内容をより理解できると思います。もし開発・運用経験がない方も、事前に簡易サイトを構築したり、脆弱性とその対策方法について学んでおくことでより理解が深まるトレーニングになると思います。

お支払方法

  • ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します。
  • ※トレーニングの受講費用は先払いとなります。詳細はお申し込み後に、事務局よりご案内させていただきます。
  • ※法人のお客様の場合は請求書払いのご対応も可能です。
  • ※ご請求先が過去にお取引のある法人様の場合は、ご受講月末締めの翌月末払いとなります。ご請求書はご受講月の月末までに送付いたします。

説明動画

FAQ

セキュリスト(SecuriST)®認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか?
認定Webアプリケーション脆弱性診断士
・累計受講者数(2020年11月~):212名
・累計資格ホルダー数(2021年3月~):24名

認定ネットワーク脆弱性診断士
・累計受講者数(2020年11月~):175名
・累計資格ホルダー数(2021年3月~):16名

※2021年7月時点