ホワイトハッカーのスキルを習得できる「認定資格」とは

1

2024年12月29日 22:20  TechTargetジャパン

  • チェックする
  • つぶやく
  • 日記を書く

TechTargetジャパン

写真

 ハッカーと言えば、攻撃者のイメージだが、攻撃者目線でシステムのセキュリティの弱点を洗い出す「ホワイトハッカー」(倫理的ハッカー)もいる。ホワイトハッカーは多様なスキルを生かせる仕事であるため、セキュリティ分野において魅力的なキャリアパスの一つだ。ホワイトハッカーになるには、どうすればいいのか。倫理的ハッキングに欠かせない知識やノウハウを身に付けられる、“ホワイトハッカー認定資格”とその学習コースを紹介しよう。

【その他の画像】

●ホワイトハッカー認定資格

1.Offensive Securityの「PEN-200 Penetration Testing with Kali Linux」

 Offensive SecurityのPEN-200 Penetration Testing with Kali Linux(PEN-200)は、同社ペネトレーション(侵入)テスト認定資格「OSCP」(Offensive Security Certified Professional)を取得するための学習コースだ。倫理的ハッキングの技術について高度なスキルを得られるという。

 PEN-200では、「ホワイトハッカーの考え方」や「既成概念にとらわれない考え方」「失敗しても諦めない方法」などを学ぶ。技術面では、内部ネットワークをはじめとしたインフラに重点を置いている。PEN-200はハッキング可能なシステムをそろえた実験室を用意し、特権昇格やラテラルムーブメント(攻撃拡大)の手法について学習できる。

 OSCPの試験は合格ハードルが高いと言われている。ホワイトハッカーを目指す人は不合格を恐れず、挑戦してみるとよい。ただし、数カ月間にわたり試験勉強に没頭する覚悟が必要だ。受験に当たり、以下の知識や経験が推奨される。

・「TCP/IP」の知識

・TCP/IPとは、インターネット通信プロトコル「TCP」(伝送制御プロトコル)と「IP」(インターネットプロトコル)を中核としたプロトコル群

「Windows」と「Linux」を使ったシステムの管理者経験

LinuxなどUNIX系OSのシェル「Bash」や、プログラミング言語「Python」の経験

●2.GIACの「GIAC Web Application Penetration Tester」 (GWAPT)

 Escal Institute of Advanced Technologies(SANS Instituteの名称で事業展開)が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。

 GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71%以上の点数が必要になる。

・セキュリティ情報の収集

・保護対象の検出

・各種攻撃の手法

・インジェクション攻撃:アプリケーションに不正コードを注入して実行させる攻撃

・XSS(クロスサイトスクリプティング)攻撃:Webサイトに不正スクリプトを埋め込む攻撃

・SSRF(サーバサイドリクエストフォージェリー)攻撃:侵入したサーバから他のサーバに入り込む攻撃

・XXE(XML外部実体攻撃とも)攻撃:マークアップ言語「XML」を悪用して不正の外部ファイルを読み込ませる攻撃

・CSRF(クロスサイトリクエストフォージェリ)攻撃:正規のユーザーになりすまし、Webサイトに不正なリクエストを送って実行させる攻撃

ペネトレーションテスト実行方法

●3.ISC2の「Certified Information Systems Security Professional」(CISSP)

 ISC2(International Information System Security Certification Consortium)のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。

・リスクマネジメント

・IT資産のセキュリティ

・セキュリティのアーキテクチャとエンジニアリング

・ネットワークセキュリティ

・IDとアクセス管理

・脆弱(ぜいじゃく)性評価やコンプライアンス(法令順守)チェック

・セキュリティ運用

・ソフトウェア開発におけるセキュリティ

 CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125〜175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70%以上だ。

※本記事は米Informa TechTargetの記事を翻訳・編集したものです。

このニュースに関するつぶやき

  • ちょいと調べたらOSCPは有効期間が無期限なのはいいとして受験料が約30-40万(為替変動)、試験時間47時間45分とか個人で受けるにはハードル高すぎ、CCIEよりは安いかって感覚、実技もあって実践的なんだろうけどこれはなかなか
    • イイネ!0
    • コメント 0件

つぶやき一覧へ(1件)

Copyright(C) 2025 ITmedia, Inc. All Rights Reserved. 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。

ランキングIT・インターネット

アクセス数ランキング

一覧へ

話題数ランキング

一覧へ

前日のランキングへ

ニュース設定

このページの上部へ