ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ：「ホワイトハッカー」認定資格5選【前編】

セキュリティ専門家がキャリアパスについて悩んだとき、一つの選択肢になるのはホワイトハッカーになることだ。刺激的なこの仕事に就くために役立つ認定資格とは。

[Rob Shapland，TechTarget]

　ハッカーと言えば、攻撃者のイメージだが、攻撃者目線でシステムのセキュリティの弱点を洗い出す「ホワイトハッカー」（倫理的ハッカー）もいる。ホワイトハッカーは多様なスキルを生かせる仕事であるため、セキュリティ分野において魅力的なキャリアパスの一つだ。ホワイトハッカーになるには、どうすればいいのか。倫理的ハッキングに欠かせない知識やノウハウを身に付けられる、“ホワイトハッカー認定資格”とその学習コースを紹介しよう。

ホワイトハッカー認定資格5選

併せて読みたいお薦め記事

今、注目の「セキュリティ資格」

• 有望なセキュリティエンジニアになれる「クラウド認定資格」はこれだ
• セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ

1．Offensive Securityの「PEN-200 Penetration Testing with Kali Linux」

　Offensive SecurityのPEN-200 Penetration Testing with Kali Linux（PEN-200）は、同社ペネトレーション（侵入）テスト認定資格「OSCP」（Offensive Security Certified Professional）を取得するための学習コースだ。倫理的ハッキングの技術について高度なスキルを得られるという。

　PEN-200では、「ホワイトハッカーの考え方」や「既成概念にとらわれない考え方」「失敗しても諦めない方法」などを学ぶ。技術面では、内部ネットワークをはじめとしたインフラに重点を置いている。PEN-200はハッキング可能なシステムをそろえた実験室を用意し、特権昇格やラテラルムーブメント（攻撃拡大）の手法について学習できる。

　OSCPの試験は合格ハードルが高いと言われている。ホワイトハッカーを目指す人は不合格を恐れず、挑戦してみるとよい。ただし、数カ月間にわたり試験勉強に没頭する覚悟が必要だ。受験に当たり、以下の知識や経験が推奨される。

• 「TCP/IP」の知識
  • TCP/IPとは、インターネット通信プロトコル「TCP」（伝送制御プロトコル）と「IP」（インターネットプロトコル）を中核としたプロトコル群
• 「Windows」と「Linux」を使ったシステムの管理者経験
• LinuxなどUNIX系OSのシェル「Bash」や、プログラミング言語「Python」の経験

2．GIACの「GIAC Web Application Penetration Tester」 (GWAPT）

　Escal Institute of Advanced Technologies（SANS Instituteの名称で事業展開）が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。

　GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」（Open Web Application Security Project）による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71％以上の点数が必要になる。

• セキュリティ情報の収集
• 保護対象の検出
• 各種攻撃の手法
  • インジェクション攻撃：アプリケーションに不正コードを注入して実行させる攻撃
  • XSS（クロスサイトスクリプティング）攻撃：Webサイトに不正スクリプトを埋め込む攻撃
  • SSRF（サーバサイドリクエストフォージェリー）攻撃：侵入したサーバから他のサーバに入り込む攻撃
  • XXE（XML外部実体攻撃とも）攻撃：マークアップ言語「XML」を悪用して不正の外部ファイルを読み込ませる攻撃
  • CSRF（クロスサイトリクエストフォージェリ）攻撃：正規のユーザーになりすまし、Webサイトに不正なリクエストを送って実行させる攻撃
• ペネトレーションテスト実行方法

3．ISC2の「Certified Information Systems Security Professional」（CISSP）

　ISC2（International Information System Security Certification Consortium）のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。

• リスクマネジメント
• IT資産のセキュリティ
• セキュリティのアーキテクチャとエンジニアリング
• ネットワークセキュリティ
• IDとアクセス管理
• 脆弱（ぜいじゃく）性評価やコンプライアンス（法令順守）チェック
• セキュリティ運用
• ソフトウェア開発におけるセキュリティ

　CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125〜175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70％以上だ。

---

　後編は、4つ目と5つ目の認定資格を取り上げる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。