セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。
ハッカーと言えば、攻撃者のイメージだが、攻撃者目線でシステムのセキュリティの弱点を洗い出す「ホワイトハッカー」(倫理的ハッカー)もいる。ホワイトハッカーは多様なスキルを生かせる仕事であるため、セキュリティ分野において魅力的なキャリアパスの一つだ。ホワイトハッカーになるには、どうすればいいのか。倫理的ハッキングに欠かせない知識やノウハウを身に付けられる、“ホワイトハッカー認定資格”とその学習コースを紹介しよう。
Offensive SecurityのPEN-200 Penetration Testing with Kali Linux(PEN-200)は、同社ペネトレーション(侵入)テスト認定資格「OSCP」(Offensive Security Certified Professional)を取得するための学習コースだ。倫理的ハッキングの技術について高度なスキルを得られるという。
PEN-200では、「ホワイトハッカーの考え方」や「既成概念にとらわれない考え方」「失敗しても諦めない方法」などを学ぶ。技術面では、内部ネットワークをはじめとしたインフラに重点を置いている。PEN-200はハッキング可能なシステムをそろえた実験室を用意し、特権昇格やラテラルムーブメント(攻撃拡大)の手法について学習できる。
OSCPの試験は合格ハードルが高いと言われている。ホワイトハッカーを目指す人は不合格を恐れず、挑戦してみるとよい。ただし、数カ月間にわたり試験勉強に没頭する覚悟が必要だ。受験に当たり、以下の知識や経験が推奨される。
Escal Institute of Advanced Technologies(SANS Instituteの名称で事業展開)が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。
GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71%以上の点数が必要になる。
ISC2(International Information System Security Certification Consortium)のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。
CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125~175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70%以上だ。
後編は、4つ目と5つ目の認定資格を取り上げる。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
従来型境界防御が限界を迎え、企業は新たなサイバーセキュリティの課題に直面している。今日の高度な脅威に対抗するためのセキュリティアプローチとして、ZTNA、EDR、XDRの統合による包括的保護の実現方法について解説する。
「AIエージェント」をはじめとする人工知能(AI)技術を、脅威の検出や分析に利用する動きが広がりつつある。AI技術がセキュリティ分野にもたらす可能性と、その効果を最大限引き出すために留意すべき課題について整理する。
セキュリティ運用の複雑化を防ぐために、乱立するセキュリティツールの統合に取り組む企業が増えている。しかし、ただ統合するだけでは必ずしも問題の解決にはつながらない。“賢い統合”を実現するためのポイントとは。
SIEMとSOARは、企業のセキュリティ運用を支える中核的なツールだ。両ツールの目的や機能、メリットは大きく異なるが、十分に理解している人は少ない。それぞれの特徴を整理し、自社に最適な選び方を分かりやすく解説する。
「EDR」と「SIEM」はどちらも企業のセキュリティを強化するための重要なツールだが、それぞれ担う役割や得られるメリットは大きく異なる。両者の違いや併用の可能性について触れつつ、最適なセキュリティ体制を構築するヒントを探る。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...