新着情報

CompTIA PenTest+が米国国防総省で承認:重要なことは

2020/11/19

CompTIA米国本部ブログ:CompTIA PenTest+ Is Now DoD Approved: Why It Matters


08332-pentest-dod-approved.pngパンデミックが発生する以前は、2021年までにサイバー犯罪により世界中で年間6兆ドルを超えるコストが必要になると予測されていました。多くの企業や組織がネットワークやシステムの予期しないセキュリティリスクに対処し、サイバーレジリエンスの体勢を整える必要があるだけではなく、国家安全保障の問題にまで及んでいました。

これらの脅威、攻撃、脆弱性との戦いを支援するために、米国国防総省(DoD)は、攻撃されたネットワークのレジリエンスを強化するため、承認されたサイバーセキュリティ認定資格を活用して、ペネトレーションテストと脆弱性マネジメントスキルの検証を行うことを担当者と協力会社に要求しています。

CompTIA PenTest+は、DoD8570.01に基づくInformation Assurance Workforce Improvement Programにおいて承認を受けました。これは、機密情報を扱う軍関係者や防衛関連の協力会社の要員が、CompTIA PenTest+を取得することにより特定の職務要件を満たしたことを証明することになります。DoDでは、特定の職務におけるペネトレーションテストと脆弱性マネジメントスキルの重要性を正式に認識しており、この承認によりCompTIA PenTest+が貢献します。

DoDは、8570.01-Mの3つのジョブカテゴリに対してCompTIA PenTest+を承認しました。

1.Cybersecurity service provider (CSSP) analyst
2.CSSP incident responder
3.CSSP auditor

この情報は、DoD Cyber Exchange public websiteで更新、公開されます。

DoD8140とNICE work roles(役割)にはどのような影響があるか?

米国国防総省サイバーセキュリティ要員は、CompTIAと共に、2020年12月にDoD 8140 マニュアルが暫定的にリリースされるのを待ち構えています。このマニュアルに含まれる正確な内容は現時点では不明ですが、8570.01-Mに置き換わる予定です。

また、このマニュアルに含まれるそれぞれの職務は、NICE Frameworkにマッピングされる予定です。NICEのwork rolesカテゴリは、特定の職位や採用の決定に関連していると予想されます。

CompTIA PenTest+は、7つ以上のNICEのwork rolesカテゴリにおいて70%以上のスキルの網羅性があり、これにより、8140マニュアルの下記のような職務に適用することが可能と考えています。

211 Forensics Analysis
212 Cyber Defense Forensics Analyst
511 Cyber Defense Analyst
521 Cyber Defense Infrastructure Support Specialist
531 Cyber Defense Incident Responder
541 Vulnerability Assessment Analyst
612 Security Controls Assessor

CompTIA PenTest+は、Cyber Crime Investigatorの60~70%、R&D Specialist やInformation Systems Security Managerのほぼ60%のスキルも網羅しています。

CompTIA PenTest+に関連する職務

CompTIA PenTest+は、従来のデスクトップやサーバーに加え、クラウドやモバイルなどの新しい環境でテストを実行するための実践的なスキルと知識を証明する認定資格です。この認定資格を取得することで、サイバー攻撃に対するネットワークのレジリエンスを高めるといった職務に就く際にスキルが証明されます。

これらの職務には下記のような要素が含まれています:
ペネトレーションテスター
脆弱性テスター
セキュリティアナリスト(II)
脆弱性評価アナリスト
ネットワークセキュリティオペレーション
アプリケーションセキュリティ脆弱性

これらに関連している仕事に就いている、または今後就きたいと考えている場合に、CompTIA PenTest+を取得することでこれらに必要なスキルを確実に身につけることができます。CompTIA PenTest+の詳細、出題範囲は、こちらからご確認いただけます。

 

CompTIA PenTest +はDoDにどのようなメリットをもたらしますか?

DoD指令8570.01-MにCompTIA PenTest+が含まれることで、米軍関係者と防衛関連の協力会社は、システムのテスト(合法的なテスト)、発見された脆弱性の特定、管理、文書化、緩和策の特定といった最新のサイバーセキュリティで必要とされるスキルを身につけることを可能とします。
最も重要なことは、CompTIA PenTest+は、3~4年の中級レベルのペネトレーションテストと脆弱性マネジメントスキルを評価するため、DoD8570プログラムにおいて初めてとなる、実践的なパフォーマンスベースの設問が含まれる試験が実施されます。

DoD8570プログラムに含まれる他の認定資格試験では、このレベルのスキルを評価するためにパフォーマンスベースのテストは含まれていません。これは、タスクを実行する上で知識だけではなく、実践的なスキルを評価することが重要と考えるDoDのニーズを示しています。

例えば、CompTIA PenTest+では、従来のデスクトップとサーバーに加え、クラウドやモバイルなどの新しい環境でテストを実行するスキルを問います。また、脆弱性を発見するだけではなく、これを悪用されないために必要とされる計画、スコープ、マネジメントするスキルが含まれています。

この認定資格を取得することで、下記のスキルと知識を取得していることを証明します。

 ・ アセスメントの計画とスコープ
 ・ 法的要件とコンプライアンス要件を理解する
 ・ 適切なツールと手法を使用して、脆弱性スキャンとペネトレーションテストを実行する
 ・ 結果を分析する

また、CompTIA PenTest+は、下記のようなコミュニケーションスキルも網羅しています。

 ・ 改善手法を含む書面によるレポートを作成する
 ・ 結果をマネジメント層に効果的に伝える
 ・ 実用的な推奨事項を提供する

これらのスキルは、CompTIA PenTest+(PT0-001)試験の出題範囲に含まれる5つのドメイン内で評価されます。

1.計画とスコープ(15%)
2.情報収集と脆弱性の識別(22%)
3.攻撃とエクスプロイト(30%)
4.ペネトレーションテストツール(17%)
5.報告とコミュニケーション(16%)

CompTIA PenTest +を取得する方法

04584-blog-lead-capture-image.pngCompTIA PenTest +認定を取得するための最初のステップは、試験バウチャーを購入して試験の予約をすることです。カレンダーに予約日を記しておくことで、試験準備のためのタイムラインを作成することに役立つため、学習を始める前に試験の予約を行うことをお勧めします。受験やトレーニングの費用を節約する方法がいくつかあるのでご紹介をします。

CompTIA PenTest +のトレーニング方法

受験日が決定したら、トレーニング開始です。CompTIA PenTest+の試験準備にはいくつかの方法があります。CompTIAは、トレーニングのために育るかのソリューションを提供しています。ご自身の学習スタイルと受験までのタイムラインに合わせて最適なものを選択してください。(一部のトレーニングは、英語のみ提供されています。)

・CertMster Learn(英語のみ):インタラクティブな自学教材のCertMster Learn for CompTIA PenTest+は、カスタマイズ可能な学習プランとパフォーマンスベースのトレーニングが含まれており、受験に向けて学習を行うことができます。
・CompTIA Labs(英語のみ):仮想環境の実際の機器とソフトウェアを操作することで、CompTIA PenTest+の受験に必要な実践的なスキルを強化することが可能です。
・CertMaster Practice(英語のみ):アダプティブラーニングが可能なオンラインツールで、学習内容の強みを確認し、弱みとされるスキルと知識のギャップを埋めることで試験の準備を進めることができます。
・Study Guide for CompTIA PenTest+:The Official CompTIA PenTest+ Study Guideは、書籍、またはeBookとして入手可能で、CompTIA PenTest+のすべての出題範囲を網羅し、効果的な学習を進めることが可能なコンテンツです。
・インストラクターによるトレーニング:CompTIA認定パートナーにより、インストラクターによるトレーニングが提供されています。
・ITProTVを使用したビデオトレーニング(英語のみ):ITProTVは、インタラクティブで魅力的なトークショースタイルの形式で、学習効果が高いトレーニングを提供します。

CompTIA PenTest +試験を受ける方法

CompTIAでは、現在、認定資格試験を受験いただく際にオンライン試験とテストセンターでの2つの方法を提供しています。

オンライン試験では、自宅から、または静かで集中できるセキュアな場所から、都合のよい時間にCompTIA認定資格試験を受験することができます。オンライン試験は、24時間いつでも受験でき、テストセンターでの受験よりも幅広くスケジュールを調整することが可能です。

テストセンターでの受験は、よく知られている従来の受験方法です。ピアソンVUEのテストセンターに行き、準備された機器をプロクターの監視下で使用します。

CompTIA PenTest+は、CompTIA Cybersecurity Career Pathwayのどこに位置づけられていますか?

cybersecurity-career-pathway.pngCompTIA PenTest+は、CompTIAが提供する中級レベルのサイバーセキュリティ認定資格の一つです。CompTIA CySA+と共に、CompTIA Security+取得後に、さらにスキルを育成することを目的としています。

CompTIA PenTest+は、サイバーセキュリティの攻撃側のレッドチーム側の認定資格であり、一方で、CompTIA CySA+は、防御側のブルーチームの認定資格です。

どちらの認定資格も、3~4年のセキュリティプロフェッショナルのスキルを評価し、どの順序でも取得することが可能です。その上位資格にあたるのが、CompTIA Advanced Security Practitioner(CASP+)であり、5年以上のセキュリティプロフェッショナルのスキルを評価します。

CompTIA PenTest+がDoD8570.01-Mに追加されることで、ペネトレーションテストと脆弱性分析スキルのスキルキャップを埋めることができます。CompTIAは、米国国防総省、業界のエキスパート、またこの分野のITプロフェッショナルと綿密に連携し、CompTIA PenTest+の出題範囲が、今日のサイバーセキュリティプロフェッショナルと企業のニーズを確実に満たすように努めています。