認定脆弱性診断士とは?

認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオンを含むトレーニングで身に着け、さらにそのスキルを認定する仕組みです。

 

本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト (代表 上野 宣 氏)がスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

 ・人事関係分野:採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成など

 ・発注関連分野:入札仕様、診断サービス依頼先の選定

 

脆弱性診断の知識や技術をより多くの人に

「脆弱性診断士」と聞くと、専門職のイメージがあるかもしれません。

日本でも多くの脆弱性診断士の方が、企業の情報システムやWebサービスの脆弱性(セキュリティ上の欠陥)の有無をテストし、システムのセキュリティ向上に貢献しています。しかし、システムの脆弱性をチェックする知識や技術は、専門職の方だけでなく、システムのオーナーや開発者、品質管理者にとっても非常に有益だと考えています。

認定脆弱性診断士は、脆弱性診断士のベースラインとしてのスキルを認定することを目的とするとともに、システムに関わるより多くの方がシステムのセキュリティを評価するための知識や技術を習得することを目的としています。

 

講座提供会社:グローバルセキュリティエキスパート株式会社(GSX)

 

脆弱性診断士には次の2種類があります。

コースの特徴

  • ● ネットワークシステムの脆弱性に関する知識を得る
  • ● どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
  • ● 脆弱性を発見するための手段やツールについての知識がない
  • ● 発見した脆弱性がどのぐらいのリスクなのかが判る

全面監修

株式会社トライコーダ 代表取締役
上野 宣
2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。
OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、Flatt Security 社外取締役などを務める。
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数。
第16回「情報セキュリティ文化賞」、(ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞。

コース概要

開講日
2024年5月13日(月)+ 5月14日(火)
2024年6月12日(水)+ 6月13日(木)
2024年7月 9日(火)+ 7月10日(水)
2024年8月19日(月)+ 8月20日(火)
2024年9月11日(水)+ 9月12日(木)

※申し込みの締め切りは、コース開催日の10営業日前となります。
コース名
認定ネットワーク 脆弱性診断士 公式トレーニング
概要
認定ネットワーク脆弱性診断士(Network Security Testing)は、ネットワーク脆弱性を適切に、かつ効率的に発見するために必要な知識、診断技術、リスクの算出方法などを習得、認定することを目的にしています。
学習目標
・ネットワークシステムの脆弱性に関する知識を得る
・どの範囲まで、どのレベルまで脆弱性を探せば適切なのか判る
・脆弱性を発見するための手段やツールについての知識がない
・発見した脆弱性がどのぐらいのリスクなのかが判る
受講形式
オンライン(ライブ配信)
受講対象者
脆弱性診断の技術を身につけたいが何から初めて良いかわからないといった悩みを持っている企業や組織
 ・ 脆弱性診断を内製化に取り組みたい開発会社など
 ・ 脆弱性診断要員の教育を外注化したい開発会社や診断会社

イントラネット/インターネット向けのネットワークシステムに関わる方
 ・ ネットワークシステムのセキュリティ要件の定義や評価をする方
 ・ ネットワークシステムの構築担当者
 ・ ネットワークシステムのテスト担当者
 ・ 品質管理担当者
受講料
講座+試験|220,000円(税込)
学習想定総時間
2日間|10:00~18:00
備考
・専用テキスト
・演習用環境
・認定試験1回

カリキュラム概要

カリキュラム
概要
学習想定時間(h)
ネットワーク脆弱性診断の基礎知識
・診断対象となるシステムについて
・診断で得られる情報
・診断についての推奨事項
・診断実行者の役割と責任
フットプリンティング/OSINT
・公開された情報のチェック
・OSINT (Open Source Intelligence)
・IPアドレスの登録情報
・DNS、WHOIS、命名規則
・検索エンジン、GHDB
・公式Webサイト
・DNS環境のチェック
ポートスキャン/ネットワークスキャン
・ポートスキャン/ネットワークスキャンの目的
・スキャン実行後の対応
・診断対象リストの作成
・スキャンの実行
・スキャンとファイアウォール
アカウントの検査
・アカウント名の列挙
・認証強度の確認
・デフォルトアカウント・パスワード
・パスワードクラッカー
セキュリティスキャナー
・セキュリティスキャナーの機能
・セキュリティスキャナーの問題点
・セキュリティスキャナーの使い方
・発見した脆弱性の存在を確認
レポート
・診断報告書に関する要件
・報告書の内容
・脆弱性情報の情報源
・脆弱性の深刻度の評価

資格試験概要

資格名
認定ネットワーク 脆弱性診断士
(資格有効期限:3年)
受講料
・「講座+試験」のセットプランでお申し込みされている方は、各トレーニングに応じた1回分の認定資格試験が付帯されています。
「試験申込」項目に記載しております各試験の申込サイトのURLからお手続きの際に、事務局から案内される受験チケット番号をご入力ください。

・講座を受講せずに、試験のみ受験していただくことも可能です。再試験や試験のみの受験をご希望の方は、「試験申込」項目に記載しております各試験の申込サイトのURLよりお手続きください。
 ‥受験料:29,700円(10%消費税込) 
 ‥お申込先:https://cbt-s.com/examinee/examination/securistweb.html
実施概要
・試験問題数:30問
・試験時間:60分
・試験会場:全国のテストセンター(株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions) )
出題範囲
公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク

導入企業の声

ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

M.Y 様 
攻撃者の視点での解説やCyber Kill Chainについても説明があり、攻撃者が攻撃対象をどのように調査しているのかといった観点での説明があり、脆弱性診断の必要性について理解しやすい内容でした。
TCP/IP等のネットワークプロトコルを理解している必要がありますが、セキュリティを初めて学ぶ方にも理解しやすい内容でした。
演習環境はレスポンスもよく使いやすい環境であったため、演習のテンポに遅れることなく利用することができましたが、環境の制約上NICが2枚となっており、実行するコマンドによってはどちらのNICが使われたのか分かりにくかったので、テキストで補足があればよいと感じました。


ーーこれからご受講される方々に向けてアドバイスなど一言お願いいたします

M.Y 様 
脆弱性診断を業務として行う方には、一定のスキルレベルを保持していることを証明できることになりますので、これが業界スタンダードになることを願っています。
ユーザ企業として受講される方は、脆弱性診断の診断結果を正しく理解でき、セキュリティベンダー様との共通言語となることで、正しく脆弱性が診断されたかを評価できるようになります。セキュリティに対する意識を向上させるためにもアプリ・インフラを問わずに受講されることをお勧めします。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

K.N 様 
攻撃者の視点が理解できた点が、1番のスキルアップでした。
攻撃のために行われている情報収集方法や、攻撃対象の絞り込み方が分かったことで、防御するべき勘所が明確になりました。レベル感については、業務ではネットワークやWebアプリの開発保守に携わっていませんでしたが、私にとっては丁度よい難易度でした。

ーーこれからご受講される方々に向けてアドバイスなど一言お願いいたします

K.N 様 
セキュリティに興味があるけど、
①ネットワークの知識が乏しい
②Webアプリ開発をしたことがない
③担当プロジェクトの開発モジュールは外部ネットワークとの通信はしない
などの理由で躊躇される方にも、受講を進めたいと思いました。
ーー受講してみてスキルアップにつながったこと、また率直なご意見・ご感想(良かった点/改善すべき点)、ご自身の現状のスキルから見た講義のレベル感(難しかった、易しかった)などをお聞かせください

S.I 様
ネットワークスキャンや脆弱性スキャンに限らず、公開情報の調査から診断報告書の書き方まで含んでおり、網羅的で実践的なトレーニングだったというのが一番の感想です。
講義ではDNSによる名前解決の流れやTCPの3ウェイハンドシェイク、Linuxの使い方といった基礎から教えていただけました。また、半分以上の時間は、説明を聞きながら講師と一緒に演習環境で手を動かす内容でした。このため、セキュリティ関連業務の未経験者でも基本的なネットワーク知識があれば、十分に知識や技術を身に着けられると思います。一方、実務経験が豊富な方やCEH取得者など、ある程度のスキルがある方には少し物足りないかなというのが正直な感想です。

ーーこれからご受講される方々に向けてアドバイスなど一言お願いいたします

S.I 様
ネットワーク脆弱性診断の基本的な知識や技術を網羅的に身に着けたい人や、何から手を付けていいのか分からない人にぴったりの教育だと思います。

お支払方法

  • ご希望コース開催日の10営業日前までに当社指定の口座へお振込みをお願い致します。
  • ※トレーニングの受講費用は先払いとなります。詳細はお申し込み後に、事務局よりご案内させていただきます。
  • ※法人のお客様の場合は請求書払いのご対応も可能です。
  • ※ご請求先が過去にお取引のある法人様の場合は、ご受講月末締めの翌月末払いとなります。ご請求書はご受講月の月末までに送付いたします。

説明動画

FAQ

セキュリスト(SecuriST)®認定脆弱性診断士の累計受講者数、累計資格ホルダー数を教えてくれませんか?
認定Webアプリケーション脆弱性診断士
・累計受講者数(2020年11月~):212名
・累計資格ホルダー数(2021年3月~):24名

認定ネットワーク脆弱性診断士
・累計受講者数(2020年11月~):175名
・累計資格ホルダー数(2021年3月~):16名

※2021年7月時点