セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

ペネトレーション・テスターの米国資格事情

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。

日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。(評価には個人の意見がかなり含まれていますので、その点はご容赦ください。)

米国でポピュラーであるペネトレーション・テスターの資格は大きく3種類あります。

  • CEH : Certified Ethical Hacker
  • GIAC : Global Information Assurance Certification
  • OSCP : Offensive Security Certified Professional

CEH : Certified Ethical Hacker

米国で一番ポピュラーなペネトレーション・テスターの資格が、このCEHだと思います。米国でのセキュリティ・ポジションの応募要項には、CEH保持者であることが条件と書かれることも珍しくありません。

仕事の同僚が受講していたため資料を見せてもらいましたが、ペネトレーション・テスターが理解すべき内容が網羅されており、カラフルでわかりやすい資料です。(この資格では、Webアプリケーション・レイヤーとネットワーク・レイヤーが両方網羅されていますので、カバレッジも広いと考えられます。)欠点としては期待したよりも深さが足りないという点があげられると思います。実際に受講したわけではありませんが、ある程度セキュリティの基礎やペネトレーション・テストに知っている人に対しては簡単なのかも知れません。

CEHが人気な理由としては、SANSより研修費が安く、ペネトレーション・テスト全般に通じているというアピールができるからだと考えています。

GIAC : Global Information Assurance Certification

GIACは、SANSが主催している資格群です。ペネトレーション・テストに特化した資格だけでも、たくさんの資格が用意されています。GIACのよい部分は、専門領域ごとに資格が用意されており、詳細に踏み込んだ知識が獲得できる点だと思います。たとえば、GPENはネットワーク層ペネトレーションテスト、GWAPTはWebアプリケーションに関する診断技術に特化した資格です。

但し、欠点とすると受講料・受験料・更新料が高いという点があるかと思います。特に、専門領域ごとに資格が分かれているということは、そのすべてを場合によっては維持しなければいけないため、資格費用を自分で払うこともあるアメリカではCEHの方が好まれているのだと思います。

OSCP : Offensive Security Certified Professional

OSCPとは、Offensive SecurityというKali Linuxを作成しているベンダーが出している資格で、最近こちらで有名になりつつある資格です。CEHやGIACはMultiple Choice方式の試験(四択問題)ですが、この試験は24時間以内にテスト環境に対してハッキングを成功させ、その様子を全て報告書としてまとめて提出して初めて合格できるという実践重視の資格です。

話を聞く限り、報告書のテンプレートなどはもらえるため、それに従って報告書を作ればよいわけですが、ペネトレーション・テストの一通りの手順・技術を理解し、かつ手を動かせることの証明になるため、最近注目されています。(確かに、いくら4択問題を正確に解けても、実際にハッキングができなければ意味がないと思うので、その意味でこの資格が注目を集めるのは妥当だと思います。)

あるカンファレンスでは、ベンダーの選定基準としてOSCPホルダーの有無を基準にしているといっていたので、今後はこちらの資格が注目されていく可能性も高いと考えています。

比較表

整理のために比較表を作成しておきました。

 CEHGIACOSCP
提供元 EC Council SANS Offensive Security
コスト(研修費+更新費) $2,895 $6,279 $800
更新頻度 3年ごと 4年ごと 更新なし

その他の資格

実は資格だけでいえば、ほかにもいろいろな資格は存在します。いかにいくつか聞いたことがある資格を列挙してみました。但し、資格はあくまで技術力や知識の証明書に過ぎないので、特に理由がない限り、上記3種類のいずれかを選択するのがよいかと思います。(たとえば、QAエンジニアの人などは、ISTQBの資格を持つとキャリアパスが広がるのかもしれません。そういう意味では、日本でも資格を作ろうという動向があるみたいですが、既存の資格との違いがあまり見出せていないので個人的には現時点で取得する優先度は高くないと考えています。)

まとめ

セキュリティ診断技術を証明するため、米国の資格事情について記事を書いてみました。

ちなみに、アメリカの学生さんでセキュリティのキャリアパスを考えている人に資格について相談されたことがありますが、OSCPをお勧めしています。学生さんでもアルバイトを頑張れば払える金額だと思いますし、実践的である点が非常に価値が高いと考えています。

*1:GIAC Penetration Tester

*2:GIAC Web Application Penetration Tester