ASCII STARTUPについて

メルマガはこちらから

PAGE
TOP

  1. ASCII STARTUP
  2. GSX、セキュリスト(SecuriST)認定脆弱性診断士の認定試験日程を公開へ
  • はてなブックマーク シェアボタン
  • LinkedIn シェアボタン

GSX、セキュリスト(SecuriST)認定脆弱性診断士の認定試験日程を公開へ

PR TIMES

GSX
~認定試験問題の監修には上野宣氏、徳丸浩氏、辻伸弘氏が参画~

グローバルセキュリティエキスパート株式会社(本社:東京都港区海岸1-15-1、代表取締役社長:青柳 史郎、https://www.gsx.co.jp/、以下、GSX)は、セキュリスト(SecuriST)認定脆弱性診断士で提供する認定試験の日程を公開しました。


 昨年12月より開講しているセキュリスト(SecuriST)認定脆弱性診断士は、2つのトレーニングと認定試験で構成されています。認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルを、ハンズオン含むトレーニングで身に着け、さらにそのスキルを認定試験で認定するGSXオリジナル提供の仕組みとなり、この度認定試験をご提供する運びとなりました。
 セキュリスト(SecuriST)認定脆弱性診断士の試験問題監修には、株式会社トライコーダ代表取締役の上野宣 氏、EGセキュアソリューションズ株式会社代表取締役の徳丸浩 氏、SBテクノロジー株式会社プリンシパルセキュリティリサーチャーの辻伸弘 氏が参画しており、認定試験問題については、脆弱性に関する原理原則に則り、診断士素養スキルの可視化、第三者指標(脆弱性診断士スキルマッププロジェクト)に沿った網羅性など、公平かつ客観的な構成を監修しています。

■認定脆弱性診断士の認定試験について

 本認定は、JNSA ISOG-JのセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催 の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクトがスキルマップで定義している「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。
 認定Webアプリケーション脆弱性診断士試験及び認定ネットワーク脆弱性診断士試験は、株式会社シー・ビー・ティ・ソリューションズ(CBT-Solutions)が提供する「CBT(コンピュータによる)全国随時試験運営委託サービス」を通じてご提供させていただきます。GSX主催の認定脆弱性診断士講座に受講されたお客様をはじめ、どなたでも認定試験を受験することができます。
 2021年2月15日より試験申込受付を開始し、2021年3月15日より順次試験を開始します。詳しくは以下URLより試験概要、受験料・お支払方法、お問合せ先をご確認ください。

◆SecuriST 認定Webアプリケーション脆弱性診断士試験
 https://cbt-s.com/examinee/examination/securistweb.html

◆SecuriST 認定ネットワーク脆弱性診断士試験
 https://cbt-s.com/examinee/examination/securist.html

■認定試験の詳細内容について

以下、認定試験の詳細内容を一部明記させていただきます。





■認定脆弱性診断士 認定試験レビュアー 上野 宣 氏からのメッセージ

「脆弱性診断」というと、セキュリティ会社が提供するプロフェッショナルなサービスだと思われていて、開発会社などが自分たち自身で実施するということはあまり考えられていませんでした。機能テストや性能テストは自分たちで実施することが多いのに、セキュリティ性能のテストである「脆弱性診断」だけは自分たちで行わないというのが現状です。
自分たちで開発したソフトウェアやサービスなのに、そのセキュリティについては自分たちでは十分に検証されていないこともしばしばありました。

セキュリティ性能のテストの難しい点は「正解がわかりにくいこと」です。
「このシステムに脆弱性がないことを証明して下さい」と言われても、脆弱性診断のプロでも「脆弱性が”ないこと”の証明」は悪魔の証明(存在しないことを証明する)で相当困難なのです。
しかし、テストですので「どの程度、安全にするべきか?」という正解が必要になります。

その正解を知り、テストを行うことができるのが「セキュリスト(SecuriST) 認定脆弱性診断士」です。
システムに対する攻撃手法や脆弱性について知り、正しい手法でテストを行い、結果を基にしてリスクを判別する。そしてその問題点を的確に伝えて安全なシステムに導く。これが脆弱性診断士の仕事です。
これを一定の品質で提供できることを示す指標として、認定脆弱性診断士の資格を持っていることが1つの判断材料となるでしょう。

脆弱性診断サービスを提供するセキュリティ会社にとっては、自社のサービスが一定の品質を持っているものであることを認定脆弱性診断士の有資格者が診断していることで示すことができます。
また、開発者自身が脆弱性診断を実施する際にも正しくセキュリティ性能のテストを行えていることを有資格者が診断していることで示すことができます。

脆弱性診断はシステムの「安全」だけではなく、利用者に「安心」も提供するために必要なテストだと考えています。
サイバー空間はまだ安全であると言える状況ではありません。「セキュリスト(SecuriST) 認定脆弱性診断士」によって脆弱性診断の技術が普及し、システム開発の際には当たり前のように実施されることでサイバー空間を安全にし、それを利用する人々に安心を提供する一助になることを願っています。

株式会社トライコーダ
代表取締役 上野 宣

■認定脆弱性診断士 認定試験レビュアー 辻 伸弘 氏からのメッセージ

私は、侵入テスト(ペネトレーションテスト)や脆弱性診断というものがあると知人に教えてもらったことがきっかけで、その仕事がしたいという一心で18年前に上京しました。上京した当時、毎日が発見で、すべてが新鮮で楽しくて仕方ありませんでした。 しかし、一通り学び、お客様と向き合うようになると様々な壁にぶつかることになります。

私が当時いた組織は大きくなく、名前もそれほど知られた存在ではありませんでした。 診断の質、報告書の質に関しては日々ブラッシュアップを行うなど、改善を常に意識した動きをしていました。しかし、いざ提案するという段階ではネームバリューや価格で判断されてしまうことが多く、肝心の診断の詳細さや質で判断いただけることはなかなかありませんでした。 それもそのはず、診断のクオリティを示すことができるような指標が当時はなかったからです。

色々なお客様とやり取りを重ねて色々な意見を頂戴しました。
多かった意見としては
「診断は受けてみるまでその質が分からない」
「受けてみたはいいが結局何をどれからしていいのか明確にならなかった」
といったものです。

この資格を取得すれば今まで述べたことが一気に解消するわけでは決してありません。
しかし、少なくとも診断を行う側、受ける側双方にある種の問題がクリアになるスタートラインには立てるのではないでしょうか。

私は診断というものに長年関わってきておりますが、診断の本当の価値は報告にあると思っています。単純に危険である可能性を提示し修正するように言えばいいというものではありません。どの脆弱性から優先的に修正していくのか。そして、その理由をしっかりと伝える必要があります。時には運用や予算を加味して修正する箇所を最小限にする提案をしなければいけない場合もあります。杓子定規に機械のように対応するのではなく、人としてお客様に寄り添うことが最も大切なことなのかもしれません。

この試験が今後さらに包括的に診断というものが抱える問題をクリアにしていく道を辿ってくださることを切に願っております。そして、その結果、私たちサイバーセキュリティに関わる人間が今よりも世の中に貢献できる日が一日も早く訪れることを楽しみにしています。

SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
辻 伸弘

◆グローバルセキュリティエキスパート株式会社について

社名:グローバルセキュリティエキスパート株式会社
東京本社:〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
東京本社日比谷オフィス:〒105-0003 東京都港区西新橋1-2-9 日比谷セントラルビル5階
西日本支社:〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル7F
西日本支社名古屋オフィス:〒460-0003 愛知県名古屋市中区錦1-5-13 オリックス名古屋錦ビル10F
代表者:代表取締役社長 青柳 史郎
資本金:636,244,690円(資本準備金含む)
設立:2000年4月
コーポレートサイトURL:https://www.gsx.co.jp/

GSXは、サイバーセキュリティ教育カンパニーです
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社であり、セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育サービスをご提供しています。
「教育」と「グローバル」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。また、GSXのサービスを通して、ユーザー様に対し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。

・組織へのご支援
 コンサルティングサービスでは、企業のセキュリティポリシー策定などの各種マネジメントコンサルティングから自社の対策状況を可視化するテクニカルコンサルティングまでをご提供します。OT(Operational Technology)セキュリティ事業では、制御システムに関するコンサル(現状調査、体制構築、運用支援)・教育ソリューション・ネットワーク可視化・緊急対応サービスなどをご提供します。また、脆弱性診断サービスではハッカーと同様の技術を持つ専門エンジニアが、お客様のネットワークシステムに擬似攻撃を実施し、脆弱性の有無を診断し、対策措置、結果報告書までをご提供します。

・セキュリティ人材育成のご支援
 教育サービスとしてEC-Council公式トレーニング、公式 CISSP CBKトレーニング、セキュリスト(SecuriST)認定脆弱性診断士による社内セキュリティ人材の育成、業界シェアNo.1(富士キメラ総研調べ)である標的型メール訓練サービスやITセキュリティeラーニングサービスのMina Secure(R)によって従業員のセキュリティリテラシー向上を目指し、全社セキュリティアウェアネス向上をご支援します。

・ワンストップソリューションのご支援
 最新の脅威や攻撃手法などに対する有効なセキュリティ製品・サービスをはじめ、ツールとインプリ・運用を組み合わせたワンストップソリューションとしてご提供します。また、ITソリューションとしてバイリンガルのデジタル人材リソースをセキュリティSESとしてご提供し、海外拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。

・社会課題解決のご支援
 企業と情報セキュリティ人材をマッチングし、全国各地のセキュリティにお困りの企業をvCISOサービスによって解決します。


※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。