支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡


CompTIA PenTest+とは?詳しく解説します


CompTIA PenTest+の概要について

ここでは、CompTIA PenTest+について説明させていただきます。 CompTIA PenTest+とはペネトレーションテストの手法、脆弱性評価、また攻撃があった際のネットワークを回復するために必要となるスキルを問う資格となります。 ペネトレーションテストとは、ネットワーク、PC・サーバーやシステムの脆弱性を検証するテスト手法として知られており、既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストするため侵入テストや侵入実験という呼ばれ方をされることもあります。 ペネトレーションテストはネットワーク・セキュリティ、 インターネット・セキュリティ、 コンピュータセキュリティ、 モバイル・セキュリティなど様々な領域で使用される手法であり、サイバーセキュリティの専門家として高いスキルを証明することができます。 CompTIA PenTest+は特にネットワーク上の脆弱性を特定、報告、管理するための実践的なペネトレーションテストや効率的に作業を進めるためにフレームワークをカスタマイズし、結果を適切に報告すること、あるいは ITセキュリティ全般的な状態の改善を図るための戦略を提案できるスキルとベストプラクティスなど幅広い知識が問われる資格と言えるでしょう。 また、試験範囲として従来のデスクトップ環境やサーバー環境だけでなくクラウド環境やモバイル環境などの 最新の環境におけるセキュリティテストの情報も盛り込まれておりますので、実践的な知識を獲得することができるでしょう。 CompTIA PenTest+を主催しているCompTIA(The Computing Technology Industry Association)の定義によりますと、最新のペネトレーションテスト、攻撃に対するネットワークのレジリエンスを維持するために必要な脆弱性評価および管理スキルを身につけることができます。 また、CompTIA PenTest+を取得することで、効率的に作業を進める上で必要な評価フレームワークをカスタマイズし、結果を適切に報告するためのスキルを証明することができます。 それだけでなくCompTIA PenTest+では実践的なペネトレーションテストの手法と、脆弱性評価をカバーしセキュリティ管理上の弱点となりうる点への改善計画、 実装、管理をするためのスキルが網羅されており、従来のPCやサーバー環境に加えて、クラウドやモバイルなどの新しい環境でデバイスをテストを実施するための実践的なスキルと知識を 学ぶことが可能です。 CompTIA PenTest+ではエンジニア、もしくはセキュリティエンジニアを始めとして以下のような専門職が対象となっております。 ペネトレーションテスター、脆弱性テスター、セキュリティアナリスト、 脆弱性評価アナリスト、ネットワークセキュリティオペレーション。 また、CompTIAのいくつかの資格は米国国防総省(The U.S. Department of Defense: DoD)の必須資格とされております。 これらはDoDの情報システム、情報インフラを守るための資格として必須とされており、 マネージャ、エンジニア、コントラクタ、そして、 特権的アクセスをもつユーザーなどすべての情報保証を必要とする人材に対し、 「DoD Directive 8570.1M(米国国防総省指令8570.1M )」への準拠を要求しています。 2020年にCompTIA PenTest+がDoDの 「DoD Directive 8570.1M(米国国防総省指令8570.1M )」の承認を得たことがニュースとなりました。 CompTIAの主催する「CompTIA Cloud+」「 CompTIA A+」「CompTIA Network+」「CompTIA Security+」 「 CompTIA CySA+」 「CASP+(CompTIA Advanced Security Practitioner+)」などCompTIA IT Fundamentals(ITF+)などはすでに承認済となっており、CompTIA PenTest+の信頼性や権威が高まった形となります。 以上が簡単ではありますが、CompTIA PenTest+に関する説明とさせていただきます。 さらに詳しくCompTIA PenTest+について解説させていただきますので、参考にしてみてください。

ペネトレーションテストについて

CompTIA PenTest+を理解するためには、ペネトレーションテストについて 理解しておく必要がありますので簡単に説明させていただきます。 本文で説明させていただきましたように、 ペネトレーションテストはネットワーク上の脆弱性を特定、報告、管理するための実践的な手法を 指します。 「侵入実験」や「侵入テスト」とも呼ばれ、情報セキュリティの重要性が増す昨今において 非常に重要な資格となります。 ペネトレーションテストと脆弱性診断はいずれも専門家がツールや専門知識を生かし 問題を診断する、という点においては共通しております。 そのため両者に厳密な違いがあるわけではありませんが ペネトレーションテストと脆弱性診断の違いをあげるとすればその目的や手法となります。 脆弱性診断とはシステムに存在する脆弱性を様々な方法を使い広範囲にわたり調査する一方で、 ペネトレーションテストではターゲットに対して攻撃者の目線で様々な検証を実施するという点が異なります。 両者ともに脆弱性の評価やそれに関するテストの知識が問われる点においては変わりません。 CompTIA PenTest+の試験は「計画とスコープ」 「情報収集と脆弱性の識別」「攻撃とエクスプロイト 」「ペネトレーションテストツール」 「報告とコミュニケーション」 から構成されており、その内容を確認していただけると脆弱性診断との違いについて理解が深まるでしょう。 ただし、ペネトレーションテストと脆弱性診断の定義は企業や組織によって異なります。 ペネトレーションテストや脆弱性診断の外注を検討している企業の担当者は、発注先のサービス内容を しっかり確認し自社にマッチしたものを選択するようにしましょう。 また、これから学習を行う方はペネトレーションテスト、脆弱性診断いずれもプロフェッショナルとしては 必須の知識となりますのでしっかりと学習を行うといいでしょう。

CompTIA PenTest+の試験について

CompTIA PenTest+の試験について説明させていただきます。 CompTIA PenTest+の試験は最大80問、単一/複数選択、パフォーマンスベースドテスト、165分で実施されます。 CompTIAによりますと推奨とされる対象者は3〜4年間のペネトレーションテスト、脆弱性評価、および脆弱性管理の実践経験となっておりますが必須ではなく、経験が不足していてもCompTIA PenTest+を受検することは可能です。 CompTIA PenTest+の試験は「計画とスコープ」 「情報収集と脆弱性の識別」「攻撃とエクスプロイト 」「ペネトレーションテストツール」 「報告とコミュニケーション」の5つの分野から構成されております。 「計画とスコープ」ではエンゲージメントを計画することの重要性、主要な法的概念を説明するための知識、 エンゲージメントに対する適切なスコープの重要性を説明する知識、コンプライアンスに基づく評価の重要性などに関する内容が試験範囲となっております。
「情報収集と脆弱性の識別」では与えられたシナリオに基づき適切な手法を用いて 情報収集を行うこと、与えられたシナリオに基づき脆弱性スキャンを 実行する知識、与えられたシナリオに基づき脆弱性スキャン結果を分析する知識、エクスプロイトの準備に情報を活用するプロセスを説明する知識、特化したシステムに関連する弱点を説明する知識に関する内容が試験範囲となっております。
「攻撃とエクスプロイト」ではソーシャルエンジニアリング攻撃を比較対照すること、 与えられたシナリオに基づきネットワークベースの脆弱性を利用する知識、与えられたシナリオに基づきワイヤレスとRFベースの脆弱性を利用する知識、与えられたシナリオに基づきアプリケーションベースの 脆弱性を利用する知識、与えられたシナリオに基づきローカルホストの 脆弱性を利用する知識、施設に関連する物理的なセキュリティ攻撃を要約する知識、 与えられたシナリオに基づきエクスプロイト後のテクニックを実行することに関する知識に関する内容が試験範囲となっております。
「ペネトレーションテストツール」では 与えられたシナリオに基づき、Nmapを使って情報収集演習を実施する知識、さまざまなツールの使用例を比較対照する知識、与えられたシナリオに基づきペネトレーションテストに関連する ツールからのアプトプットやデータを分析する知識、与えられたシナリオに基づき基本的なスクリプト (Bash、Python、Ruby、PowerShellに限る)を分析する知識に関する内容が試験範囲となっております。 「報告とコミュニケーション」では与えらえたシナリオに基づき、レポートの作成とベストプラクティスを 使用する知識、レポート後の実施アクティビティを説明する知識、 与えられたシナリオに基づき発見された脆弱性に対する 軽減戦略を提案する知識、ペネトレーションテストのプロセスにおける コミュニケーションの重要性を説明する知識が出題範囲となっております。

CompTIA PenTest+の学習方法について

CompTIA PenTest+の学習方法について説明させていただきます。 いくつか方法がありますが、一点目はCompTIAの準備する「CertMster Learn for CompTIA PenTest+」です。 こちらは英語のみの教材となりますが自習を行う際に必要なトレーニング教材となっております。 二点目はCompTIAの準備する「CompTIA Labs」です。 こちらは仮想環境が準備されており、実際の実機を操作して試験に備えることができます。 三点目はCompTIAの準備する「CertMaster Practice」です。これも英語のみとなりますが、オンラインでの学習を実施し試験に備えることができます。 四点目はCompTIAの準備する「Study Guide for CompTIA PenTest+」となります。こちらは書籍の参考書であり、CompTIA PenTest+のすべての出題範囲を網羅し、効果的な学習を進めることが可能であり自習を行う際に便利な参考書としての役割を果たします。 五点目はITProTVを使用したビデオトレーニングとなります。 こちらは英語のみとなりますが、インタラクティブなトークショースタイルの形式で、学習効果が高いトレーニングを受講することが可能となります。 六点目はインストラクターによるトレーニングとなります。 こちらはCompTIAの認定インストラクターによるトレーニングとなり効果の高いトレーニングを受講することが可能となります。 以上がCompTIA PenTest+の学習方法についての学習方法の説明とさせていただきます。

まとめ

いかがでしたでしょうか? CompTIA PenTest+について詳しく解説させていただきますので、参考にしていただけましたら幸いです。



関連記事一覧
CompTIA Project+とは?詳しく解説させていただきます
CompTIA CTT+とは?詳しく解説します
CompTIA Data+とは?詳しく解説します
CompTIA Server+とは?詳しく解説します
CompTIA Linux+とは?詳しく解説します
CompTIA CySA+とは?詳しく解説します
CompTIA IT Fundamentals(ITF+)とは?詳しく解説します
CompTIA Cloud+とは?詳しく解説します
CompTIA Network+とは?詳しく解説させていただきます
CompTIA A+とは?詳しく解説させていただきます



Copyright © IT求人ナビ
30秒で
無料会員登録