ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ「ホワイトハッカー」認定資格5選【前編】

セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。

2024年09月23日 08時00分 公開
[Rob ShaplandTechTarget]

関連キーワード

セキュリティ | 脆弱性 | 資格


 ハッカーと言えば、攻撃者のイメージだが、攻撃者目線でシステムのセキュリティの弱点を洗い出す「ホワイトハッカー」(倫理的ハッカー)もいる。ホワイトハッカーは多様なスキルを生かせる仕事であるため、セキュリティ分野において魅力的なキャリアパスの一つだ。ホワイトハッカーになるには、どうすればいいのか。倫理的ハッキングに欠かせない知識やノウハウを身に付けられる、“ホワイトハッカー認定資格”とその学習コースを紹介しよう。

ホワイトハッカー認定資格5選

1.Offensive Securityの「PEN-200 Penetration Testing with Kali Linux」

 Offensive SecurityのPEN-200 Penetration Testing with Kali Linux(PEN-200)は、同社ペネトレーション(侵入)テスト認定資格「OSCP」(Offensive Security Certified Professional)を取得するための学習コースだ。倫理的ハッキングの技術について高度なスキルを得られるという。

 PEN-200では、「ホワイトハッカーの考え方」や「既成概念にとらわれない考え方」「失敗しても諦めない方法」などを学ぶ。技術面では、内部ネットワークをはじめとしたインフラに重点を置いている。PEN-200はハッキング可能なシステムをそろえた実験室を用意し、特権昇格やラテラルムーブメント(攻撃拡大)の手法について学習できる。

 OSCPの試験は合格ハードルが高いと言われている。ホワイトハッカーを目指す人は不合格を恐れず、挑戦してみるとよい。ただし、数カ月間にわたり試験勉強に没頭する覚悟が必要だ。受験に当たり、以下の知識や経験が推奨される。

  • 「TCP/IP」の知識
    • TCP/IPとは、インターネット通信プロトコル「TCP」(伝送制御プロトコル)と「IP」(インターネットプロトコル)を中核としたプロトコル群
  • 「Windows」と「Linux」を使ったシステムの管理者経験
  • LinuxなどUNIX系OSのシェル「Bash」や、プログラミング言語「Python」の経験

2.GIACの「GIAC Web Application Penetration Tester」 (GWAPT)

 Escal Institute of Advanced Technologies(SANS Instituteの名称で事業展開)が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。

 GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71%以上の点数が必要になる。

  • セキュリティ情報の収集
  • 保護対象の検出
  • 各種攻撃の手法
    • インジェクション攻撃:アプリケーションに不正コードを注入して実行させる攻撃
    • XSS(クロスサイトスクリプティング)攻撃:Webサイトに不正スクリプトを埋め込む攻撃
    • SSRF(サーバサイドリクエストフォージェリー)攻撃:侵入したサーバから他のサーバに入り込む攻撃
    • XXE(XML外部実体攻撃とも)攻撃:マークアップ言語「XML」を悪用して不正の外部ファイルを読み込ませる攻撃
    • CSRF(クロスサイトリクエストフォージェリ)攻撃:正規のユーザーになりすまし、Webサイトに不正なリクエストを送って実行させる攻撃
  • ペネトレーションテスト実行方法

3.ISC2の「Certified Information Systems Security Professional」(CISSP)

 ISC2(International Information System Security Certification Consortium)のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。

  • リスクマネジメント
  • IT資産のセキュリティ
  • セキュリティのアーキテクチャとエンジニアリング
  • ネットワークセキュリティ
  • IDとアクセス管理
  • 脆弱(ぜいじゃく)性評価やコンプライアンス(法令順守)チェック
  • セキュリティ運用
  • ソフトウェア開発におけるセキュリティ

 CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125~175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70%以上だ。


 後編は、4つ目と5つ目の認定資格を取り上げる。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 フォーティネットジャパン合同会社

限界を迎える従来型境界防御、今求められる先進的な検知と対応能力とは

従来型境界防御が限界を迎え、企業は新たなサイバーセキュリティの課題に直面している。今日の高度な脅威に対抗するためのセキュリティアプローチとして、ZTNA、EDR、XDRの統合による包括的保護の実現方法について解説する。

技術文書・技術解説 アイティメディア広告企画

「AIエージェント時代」にセキュリティはどう進化する?

「AIエージェント」をはじめとする人工知能(AI)技術を、脅威の検出や分析に利用する動きが広がりつつある。AI技術がセキュリティ分野にもたらす可能性と、その効果を最大限引き出すために留意すべき課題について整理する。

技術文書・技術解説 アイティメディア広告企画

「乱立するセキュリティツール」を統合しても悩みが尽きない理由とは?

セキュリティ運用の複雑化を防ぐために、乱立するセキュリティツールの統合に取り組む企業が増えている。しかし、ただ統合するだけでは必ずしも問題の解決にはつながらない。“賢い統合”を実現するためのポイントとは。

技術文書・技術解説 アイティメディア広告企画

「SIEM」と「SOAR」――何がどう違うのか、どちらを選ぶべきか

SIEMとSOARは、企業のセキュリティ運用を支える中核的なツールだ。両ツールの目的や機能、メリットは大きく異なるが、十分に理解している人は少ない。それぞれの特徴を整理し、自社に最適な選び方を分かりやすく解説する。

技術文書・技術解説 アイティメディア広告企画

いまさら聞けない「EDR」と「SIEM」の違い 結局どちらを選ぶべき?

「EDR」と「SIEM」はどちらも企業のセキュリティを強化するための重要なツールだが、それぞれ担う役割や得られるメリットは大きく異なる。両者の違いや併用の可能性について触れつつ、最適なセキュリティ体制を構築するヒントを探る。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/06/02 UPDATE

  1. 險シ蛻ク蜿」蠎ァ縺�縺代§繧�↑縺�€€莨∵・ュ繧ら漁縺�€後う繝ウ繝輔か繧ケ繝�ぅ繝シ繝ゥ繝シ縲阪�莉慕オ�∩縺ィ蟇セ遲�
  2. 窶弃C荵励▲蜿悶j窶昴�諱舌l繧ゅ€€Microsoft陬ス蜩√�蜊ア髯コ縺ェ縲後ぞ繝ュ繝�う閼�シア諤ァ縲阪→縺ッ
  3. 繧ケ繝槭�繧貞�髮サ縺励◆縺�縺代↑縺ョ縺ォ笏€笏€繝槭Ν繧ヲ繧ァ繧「諢滓沒繧呈魚縺上€後ず繝・繝シ繧ケ繧ク繝」繝�く繝ウ繧ー縲阪→縺ッ
  4. 萓ソ蛻ゥ縺�縺代←蜊ア髯コ�溘€€AI縺ョ陬丞�縺ォ貎懊�6螟ァ繝励Λ繧、繝舌す繝シ萓オ螳ウ繝ェ繧ケ繧ッ
  5. 繧オ繧、繝舌�謾サ謦�〒鬘ァ螳「諠��ア豬∝�縺ョ蟆丞」イ繧雁、ァ謇九€€蟆る摩螳カ縺梧音蛻、縺吶k窶懆ヲ矩€壹@縺ョ逕倥&窶�
  6. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲阪�縺ッ蠕励°謳阪°�溘€€繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「謾サ謦�〒霑ォ繧峨l繧玖協貂九�驕ク謚�
  7. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  8. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  9. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮LockBit縺梧ュ蝣ア貍上∴縺�€€繝��繧ソ縺梧垓縺�◆窶懈判謦�€��闍ヲ蜉エ窶昴→縺ッ
  10. 窶廬T繧ケ繝代う窶昴′遉セ蜀�↓�溘€€蛹玲悃魄ョ縺ョ貎懷�繧ィ繝ウ繧ク繝九い縺檎、コ縺�8縺、縺ョ蜈�€吶→謦�€€豕�

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...