ペネトレーションテストの資格まとめ
情報セキュリティ(ペネトレーションテスト、ホワイトハッカー)の資格についてご説明します。
情報セキュリティ系資格一覧
情報セキュリティ系資格の一覧としてはこちらがかなり網羅的だと思います。勝手にリストアップすると、下記が有名かと思います。
- 情報処理安全確保支援士=旧情報セキュリティスペシャリスト(IPA、経産省の国家資格)
- CISSP (ISC)2
- CISA (ISACA)
CISAは簡単で、CISSPは実務要件も試験も厳しいです。これらはいずれも防御側の視点であり、かつ座学が多いものです。
ペネトレーションテスト系資格一覧
ペネトレーションテストとは、ターゲットシステムに実際に侵入を試みて、脆弱性の存在を洗い出すことです。攻撃者側の視点からシステムを見ることで攻撃可能な脆弱性を見つけることができます。そんなペネトレーションテスター向けの資格を3つリストアップします。
- GIAC (Global Information Assurance Certification) ... SANS
- CEH (Certified Ethical Hacker) ... EC Council
- OSCP (Offensive Security Certified Professional) ... Offensive Security
値段は下記の通り、OSCPがダントツで安いです。細かな違いは下記のサイトをご参考にしてください。
- GIAC 6,000ドル級
- CEH 3,000ドル級(日本語版は50万円弱)
- OSCP 800ドル~
CEH vs OSCP
CEHもOSCPもLabアクセス期間があり、用意されたLabで実際にサイバー攻撃を行うことでペネトレーションテストについて学ぶことができます。試験形式はCEHが暗記の選択式の試験であるのに対し、OSCPは制限時間24時間で試験用のマシーンに実際に攻撃を仕掛けて、侵入結果をレポートにして提出するという試験形式です。OSCPは実践的な試験になっています。
これを鑑みて私はOSCPに申し込みました。OSCPの詳細については下記記事に書いているのでよろしければご参考にしてください。