| 関連ブログ ・CompTIA PenTest+のここがおススメ(動画):CompTIA James Stanger ・米国国防総省(DoD)指令8140を詳しく解説!CompTIA認定資格の承認(動画):James Stanger |
CompTIA PenTest +は、ネットワーク上の脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナル向けの認定資格です。様々なIT環境での攻撃対象領域がカバーされており、クラウド、ハイブリッド、Webアプリケーション、IoT、オンプレミスなどに関連するペネトレーションテストのスキルとそれぞれの実施計画、報告などのスキルを評価します。
CompTIA PenTest +は、最新のペネトレーションの手法やネットワークのレジリエンスを判断するために必要となる脆弱性評価と管理などのスキルを評価します。
改訂CompTIA PenTest+を取得することで、下記のようなスキルと知識を習得していることを証明します。
・ペネトレーションテストの実施を計画、スコープ設定する
・法的要件とコンプライアンス要件を理解する
・適切なツールと手法を使用して脆弱性スキャンとペネトレーションテストを実施する
・ペネトレーションテストの結果を分析する
・提案すべき修復の手法を含むレポートを作成し、結果を効率的に伝え、実用的な推奨事項を提示する
CompTIA PenTest+は、世界的に認知される品質規格に準拠しているとして、2011年12月31日に、国際標準化機構(ISO)および米国規格協会(ANSI)より認定を受けています。また、米国国防総省によってDoDM8140.03要件を満たすことが承認されています。
| CompTIA PenTest+で修得できるスキル | |||
 |
計画とスコープ |  |
情報収集と脆弱性のスキャン |
| ガバナンス、リスク、コンプライアンスの概念、スコープと組織/顧客の要件を考慮し、倫理的なハッキングの考え方を説明、実行する。 | 最新の手法を考慮しながら、脆弱性のスキャンとパッシブ/アクティブ偵察の実行、脆弱性管理、偵察演習の結果分析を実行する。 | ||
 |
攻撃とエクスプロイト |  |
報告とコミュニケーション |
| 攻撃対象領域の拡張に伴い、最新のアプローチ、ソーシャルエンジニアリング手法の調査、ネットワーク攻撃、ワイヤレス攻撃、アプリケーションベースの攻撃とクラウドテクノロジーへの攻撃、エクスプロイト手法を理解、実行する。 | 調査結果を分析し、分析結果をもとにした適切な修正を推奨する。ペネトレーションテストのプロセスにおける報告とコミュニケーションの重要性を理解する。 | ||
 |
ツールとコード分析 | ||
| 様々なソフトウェア展開におけるスクリプトの識別、スクリプトとコードサンプルの分析、ペネトレーションテストフェーズで使用される多様なツールの使用方法を理解する。 | |||
CompTIA Security Case Studyに掲載されている以外の導入事例については、こちらからご覧ください。
| 出題範囲(試験名称をクリックすると「出題範囲(PDFファイル)」がダウンロードできます。) | |
|---|---|
| 日本語 | CompTIA PenTest+(PT-002) |
| CompTIA PenTest+ PT0-001とPT0-002 出題範囲の比較 | |
| 英語 | CompTIA PenTest+(PT0-002) |
CompTIA PenTest+は3〜4年間の ペネトレーションテスト、脆弱性評価、 および脆弱性管理の実践経験で得られる知識やスキルを目安に設計されています。サイバーセキュリティのキャリアパスにおいて、CompTIA CySA+と共に中級のスキルに位置されます。
CompTIA CySA+が、インシデントの検出と対応による「防御」に重点を置いているのに比べ、CompTIA PenTest+は、ペネトレーションテストと脆弱性診断による「攻撃」に重点を置いています。これら2つの認定資格は、一見反するスキルのように見えますが、依存関係にあると言えます。サイバーセキュリティにおいて高いスキルを有するためには、これら2つの「防御」と「攻撃」の両方のスキルを備えている必要があります。
| CompTIA PenTest+(PT0-002) | |
|---|---|
| 1.0 計画とスコープ | 14% |
| 2.0 情報収集と脆弱性のスキャン | 22% |
| 3.0 攻撃とエクスプロイト | 30% |
| 4.0 報告とコミュニケーション | 18% |
| 5.0 ツールとコード分析 | 16% |
| 試験情報 | |
|---|---|
| 日本語配信 | 済(2022年7月18日より日本語試験配信開始) |
| 試験科目 | 1科目 |
| 試験番号 | PT0-002 |
| 制限時間 | 165分 |
| 問題数/出題形式 | 最大で85問 単一/複数選択、パフォーマンスベーステスト ※本試験には、パフォーマンスベーステスト(シミュレーション)が出題されます。 パフォーマンスベーステストの詳細については、こちらをご覧ください。 |
| 合格ライン | 100~900のスコア形式 750スコア以上 |
| 受験料 | CompTIA認定資格試験価格をご確認ください。 |
| 前バージョンの配信終了 | CompTIA PenTest+ PT0-001日本語試験配信終了 2023年1月31日配信終了 |
CompTIA PenTest+は、資格取得から3年間の有効期限が設定されいます。(2019年1月現在)
以下のいずれかの方法で、有効期限内の認定資格の更新が可能です。
CompTIA PenTest+を更新することで、CompTIA A+、CompTIA Network+、CompTIA Security+、CompTIA CySA+が同時に更新されます。(2019年1月現在)
CEUの申請とCEプログラム費用が免除されるもの
・CompTIA PenTest+改訂試験の合格
・CompTIA PenTest+の上位試験にあたるCompTIA認定資格の取得
更新に必要な「60」CEUの申請/承認とCEプログラム費用が発生するもの
・CompTIA以外の承認されたIT認定資格の取得
・その他、CEUに対象となるアクティビティの実施
認定資格更新の詳細については、「CompTIA認定資格リニューアル/更新方法」をご確認ください。
CompTIA認定資格は、試験作成委員会が中心となり、ニーズ調査・職務分析・リサーチを経て、SMEと呼ばれる現場関係者により開発が進められます。
CompTIA PenTest+は、以下のIT業界からのSMEのサポートにより開発されました。
■米国SME(米国本部/一部抜粋)
| Amazon Web Services | IBM |
| Johns Hopkins University Applied Physics Laboratory | Las Vegas Sands Corporation |
| NTT | SecureWorks |
| Trend Micro | 他多数 |
■日本語試験SME(50音順/社名は参加時の社名を記載)
日本語試験は、以下のIT業界からのSMEのサポートにより開発されました。
| 戸畑 洋介 氏 NTTコミュニケーションズ株式会社 |
時田 剛 氏 NRIセキュアテクノロジーズ株式会社 |
| 釜山 公徳 氏 |
※CompTIAトレーニングパートナーから提供のトレーニング教材は、こちらからご確認ください。
※サンプルのダウンロードをご希望の場合には、「サンプルはこちらから」をクリックして立ち上がるWebフォームに必要事項をご入力、ご送信いただくと、PDF版がダウンロードしていただけます。製品のeBookには、印刷やPDF保存の機能はありません。
 |
The Official CompTIA PenTest+ Self-Paced Study Guide eBook 日本語版(試験番号:PT0-002) ※eBookはカラーになります。 |
 |
