ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ「ホワイトハッカー」認定資格5選【前編】

セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。

2024年09月23日 08時00分 公開
[Rob ShaplandTechTarget]

関連キーワード

セキュリティ | 脆弱性 | 資格


 ハッカーと言えば、攻撃者のイメージだが、攻撃者目線でシステムのセキュリティの弱点を洗い出す「ホワイトハッカー」(倫理的ハッカー)もいる。ホワイトハッカーは多様なスキルを生かせる仕事であるため、セキュリティ分野において魅力的なキャリアパスの一つだ。ホワイトハッカーになるには、どうすればいいのか。倫理的ハッキングに欠かせない知識やノウハウを身に付けられる、“ホワイトハッカー認定資格”とその学習コースを紹介しよう。

ホワイトハッカー認定資格5選

1.Offensive Securityの「PEN-200 Penetration Testing with Kali Linux」

 Offensive SecurityのPEN-200 Penetration Testing with Kali Linux(PEN-200)は、同社ペネトレーション(侵入)テスト認定資格「OSCP」(Offensive Security Certified Professional)を取得するための学習コースだ。倫理的ハッキングの技術について高度なスキルを得られるという。

 PEN-200では、「ホワイトハッカーの考え方」や「既成概念にとらわれない考え方」「失敗しても諦めない方法」などを学ぶ。技術面では、内部ネットワークをはじめとしたインフラに重点を置いている。PEN-200はハッキング可能なシステムをそろえた実験室を用意し、特権昇格やラテラルムーブメント(攻撃拡大)の手法について学習できる。

 OSCPの試験は合格ハードルが高いと言われている。ホワイトハッカーを目指す人は不合格を恐れず、挑戦してみるとよい。ただし、数カ月間にわたり試験勉強に没頭する覚悟が必要だ。受験に当たり、以下の知識や経験が推奨される。

  • 「TCP/IP」の知識
    • TCP/IPとは、インターネット通信プロトコル「TCP」(伝送制御プロトコル)と「IP」(インターネットプロトコル)を中核としたプロトコル群
  • 「Windows」と「Linux」を使ったシステムの管理者経験
  • LinuxなどUNIX系OSのシェル「Bash」や、プログラミング言語「Python」の経験

2.GIACの「GIAC Web Application Penetration Tester」 (GWAPT)

 Escal Institute of Advanced Technologies(SANS Instituteの名称で事業展開)が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。

 GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71%以上の点数が必要になる。

  • セキュリティ情報の収集
  • 保護対象の検出
  • 各種攻撃の手法
    • インジェクション攻撃:アプリケーションに不正コードを注入して実行させる攻撃
    • XSS(クロスサイトスクリプティング)攻撃:Webサイトに不正スクリプトを埋め込む攻撃
    • SSRF(サーバサイドリクエストフォージェリー)攻撃:侵入したサーバから他のサーバに入り込む攻撃
    • XXE(XML外部実体攻撃とも)攻撃:マークアップ言語「XML」を悪用して不正の外部ファイルを読み込ませる攻撃
    • CSRF(クロスサイトリクエストフォージェリ)攻撃:正規のユーザーになりすまし、Webサイトに不正なリクエストを送って実行させる攻撃
  • ペネトレーションテスト実行方法

3.ISC2の「Certified Information Systems Security Professional」(CISSP)

 ISC2(International Information System Security Certification Consortium)のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。

  • リスクマネジメント
  • IT資産のセキュリティ
  • セキュリティのアーキテクチャとエンジニアリング
  • ネットワークセキュリティ
  • IDとアクセス管理
  • 脆弱(ぜいじゃく)性評価やコンプライアンス(法令順守)チェック
  • セキュリティ運用
  • ソフトウェア開発におけるセキュリティ

 CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125~175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70%以上だ。


 後編は、4つ目と5つ目の認定資格を取り上げる。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

市場調査・トレンド ゼットスケーラー株式会社

ランサムウェアから組織を保護、ゼロトラストセキュリティに基づいた防御戦略

ランサムウェア攻撃は、生成AIを活用してますます巧妙化している。このような中で有効なのが、ゼロトラストセキュリティの原則に基づいた防御の戦略だ。本資料では、その戦略を5つのステップで解説する。

市場調査・トレンド ゼットスケーラー株式会社

セキュリティ調査で見えた、サイバー攻撃の現状と有効な対応策とは

多くのセキュリティ担当者は、日々進化するサイバー脅威と複雑化するIT環境のはざまで対応を迫られている。本資料ではその現状を、ITおよびセキュリティのプロフェッショナルへの調査で明らかにし、打開策を考察する。

市場調査・トレンド ゼットスケーラー株式会社

AI時代のフィッシング攻撃:最新のトレンドと効果的な防御策

フィッシング攻撃は日々高度化し、特に生成AIの活用による偽装技術の向上や攻撃手法の巧妙化が進んでいる。本資料では、フィッシング攻撃のトレンドや事例を紹介するとともに、防御のベストプラクティスについて考察する。

製品資料 プログレス・ソフトウェア・ジャパン株式会社

レイヤーを超える攻撃にどう対応する? セキュリティ間ギャップを克服する方法

従来のセキュリティ製品は、境界やエンドポイントの保護に重点を置いており、ネットワークレイヤーの保護は難しい。ハッカーはこの“ギャップ”を悪用するため、ネットワークトラフィックに潜む異常をリアルタイムに検知することが重要だ。

市場調査・トレンド プログレス・ソフトウェア・ジャパン株式会社

大企業への調査で探る:未知の脅威への検知対策を強化するために必要な機能とは

大企業のIT部門を対象に行ったセキュリティ対策に関する調査によると、未知の脅威への検知対策を行っているものの、その対策に不安を感じている企業は少なくないという。大企業はどのようなセキュリティの課題を抱えているのか。

アイティメディアからのお知らせ

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/06/19 UPDATE

  1. 郢昜サ」縺帷ケ晢スッ郢晢スシ郢晄��ク蟠趣スヲ竏夲ソス邵イ蠕後Τ郢ァ�ケ郢ァ�ュ郢晢スシ邵イ髦ェ�ス郢晢ス。郢晢スェ郢晢ソス繝ィ邵コ�ィ遯カ諛�スヲ遏ゥ邃�クコ譁絶雷邵コ�ェ邵コ�ス�ウ�ィ隲「蜀励○遯カ譏エ�帝囓�」髫ア�ャ
  2. 郢晢スュ郢ァ�キ郢ァ�「邵コ�ョ邵イ辭蛎ncy Bear邵イ髦ェ窶イ隶灘衷蝎ェ邵コ�ォ邵コ蜷カ�貴icrosoft髯ャ�ス陷ゥ竏壺�邵コ�ッ�ス貅伉€ツ€髯イ�ォ陞ウ�ウ隲。�。陞滂スァ郢ァ蝣、貍∫クコ�ス辟碑愾�」
  3. 邵イ迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ披鴬邵イ蝣コ�サ�・陞滓じ�ス郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ謔カ�ス隴幢スャ陟冶侭竊鍋クコ繧�ス狗クコ�ョ邵コ蜈キ�シ�ス
  4. Web郢ァ雋橸スョ蛹サ�狗クイ菫�AF邵イ髦ェ竊堤クイ霆喉SP邵イ髦ェ�ス闔画��オ�ス竏ゥ邵コ�ィ邵コ�ッ�ス貅伉€ツ€闕ウ�。髢��ス�ス鬩戊シ費シ樒クコ�ッ�ス�ス
  5. 關難スオ陷茨ス・驍ィ迹夲スキ�ッ邵コ�ッ邵イ譴ァ�ュ�」髫穂ク翫>郢ァ�ォ郢ァ�ヲ郢晢スウ郢晏現ツ€髦ェ窶イ隴崢€陞溷」ケツ€ツ€髫ア蟠趣スィ�シ隲��ス�ス�ア邵コ�ョ遯カ諛�ー「邵コ�セ郢ァ譴ァ蟀ソ遯カ譏エ竊鍋クコ�ッ邵コ繧�ス玖棔迚吝密郢ァ�ス
  6. 闔ィ竏オ�・�ュ邵コ�ョ61�ス�ス窶イ霎滂ス。鬮ヲ�イ陋ッ蜻サ�シ貅伉€ツ€邵イ霓。DoS隰セ�サ隰ヲ�スツ€髦ェ�ス髢シ�ス�ィ竏壺�闔臥ソォツー郢ァ蟲ィ縲堤クコ髦ェ�矩ォヲ�イ陟包ス。驕イ�ス
  7. 髫ェ�シ陋サ�ク陷ソ�」陟趣スァ邵コ�ス邵コ莉」ツァ郢ァ�ス竊醍クコ�スツ€ツ€闔ィ竏オ�・�ュ郢ァ繧画シ∫クコ�スツ€蠕後≧郢晢スウ郢晁シ斐°郢ァ�ケ郢晢ソス縺�ケ晢スシ郢晢スゥ郢晢スシ邵イ髦ェ�ス闔画��オ�ス竏ゥ邵コ�ィ陝�スセ驕イ�ス
  8. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「鬮ョ�ス螻ョ邵コ�ク邵コ�ョ邵イ迹夲スコ�ォ闔会ス」鬩・隨ャ鬮ェ隰�シ費シ樒クイ髦ェ�定耳竏オ�・�ュ邵コ譴ァ諡�陷キ�ヲ邵コ諤懶スァ荵晢ス∫クコ貅ス轤企€包スア
  9. VMware雎鯉スク闕オ�スホ帷ケァ�、郢ァ�サ郢晢スウ郢ァ�ケ邵コ�ッ郢ァ繧�鴬邵コ鄙ォ��邵コ�セ邵コ�ス�シ貅伉€ツ€遯カ諛翫Τ郢晢ソス繝。陝�スセ髮趣ス。陞溷撫ツ€譏エ縲堤ケァ繧牙�邵コ閧エ�ョ荵晢ス玖ュ�スケ雎包ソス
  10. 遯カ諛�ス、�ス蟆�クコ�ェ郢昜サ」縺帷ケ晢スッ郢晢スシ郢昜ソ�€譏エ�育ケァ鄙ォツ€蠕後Τ郢ァ�ケ郢晁シ釆樒ケ晢スシ郢ァ�コ邵イ髦ェ�定氣繧区束陞ウ�カ邵コ謔溷牽郢ァ竏夲ス矩€�ソス鄂ー

ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ:「ホワイトハッカー」認定資格5選【前編】 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�ゥ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ュ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ー

2025/06/19 UPDATE

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...