ホワイトハッカーのスキルを習得できる「認定資格」とは
2.GIACの「GIAC Web Application Penetration Tester」 (GWAPT)
Escal Institute of Advanced Technologies(SANS Instituteの名称で事業展開)が提供する認定資格GIACのGWAPTは6日間の学習コースだ。主に、Webアプリケーションのペネトレーションテスト技術を学べる。そのため、GWAPTでは、インフラ中心のPEN-200とは違う知識の取得が可能だ。 GWAPTの学習内容はSANS Instituteの認定資格「SEC542: Web App Penetration Testing and Ethical Hacking」に基づいている。Webアプリケーションのセキュリティ強化を推進するコミュニティー「OWASP」(Open Web Application Security Project)による攻撃防止手法もカバーする。GWAPT試験の内容は以下の通りだ。合格には71%以上の点数が必要になる。 ・セキュリティ情報の収集 ・保護対象の検出 ・各種攻撃の手法 ・インジェクション攻撃:アプリケーションに不正コードを注入して実行させる攻撃 ・XSS(クロスサイトスクリプティング)攻撃:Webサイトに不正スクリプトを埋め込む攻撃 ・SSRF(サーバサイドリクエストフォージェリー)攻撃:侵入したサーバから他のサーバに入り込む攻撃 ・XXE(XML外部実体攻撃とも)攻撃:マークアップ言語「XML」を悪用して不正の外部ファイルを読み込ませる攻撃 ・CSRF(クロスサイトリクエストフォージェリ)攻撃:正規のユーザーになりすまし、Webサイトに不正なリクエストを送って実行させる攻撃 ペネトレーションテスト実行方法
3.ISC2の「Certified Information Systems Security Professional」(CISSP)
ISC2(International Information System Security Certification Consortium)のCISSPは倫理的ハッキングというよりも、セキュリティ全般についても学べる。そのため、倫理的ハッキングに必要なスキルも取得できる。CISSPは以下の領域をカバーしている。 ・リスクマネジメント ・IT資産のセキュリティ ・セキュリティのアーキテクチャとエンジニアリング ・ネットワークセキュリティ ・IDとアクセス管理 ・脆弱(ぜいじゃく)性評価やコンプライアンス(法令順守)チェック ・セキュリティ運用 ・ソフトウェア開発におけるセキュリティ CISSPを受験するには、上記領域のうち、少なくとも2つで5年の実務経験が求められる。CISSPの試験は125~175問の選択式問題で構成され、時間は4時間。合格に必要な点数は70%以上だ。 ※本記事は米Informa TechTargetの記事を翻訳・編集したものです。
TechTargetジャパン
