御成門プログラマーの技術日記

Microsoft AzureやAngularなどの技術情報を発信します

「SecuriST 認定ネットワーク脆弱性診断士」に合格した開発者の受験記録【出題範囲・勉強方法・試験方式・難易度】

「SecuriST(セキュリスト) 認定ネットワーク脆弱性診断士」とは

グローバルセキュリティエキスパート株式会社(GSX)が提供する資格で脆弱性診断に必要な知識や技術を問われます。現在のところはWebアプリケーション脆弱性診断を行う「認定Webアプリケーション脆弱性診断士試験」とネットワーク脆弱性診断を行う「認定ネットワーク脆弱性診断士試験」があります。今回は「認定ネットワーク脆弱性診断士試験」について紹介していきます。試験についての詳細は グローバルセキュリティエキスパート株式会社の公式ページをご参照ください。
www.gsx.co.jp

受験時の私のスキルセット

私のメインの仕事はMicrosoft Azureを使ったアプリケーション開発を行っていることが多く、「認定ネットワーク脆弱性診断士」よりも「認定Webアプリケーション脆弱性診断士」の方がなじみが深いです。今回は自分のスキルを幅広く持つためにもなじみが浅い「認定ネットワーク脆弱性診断士」を受験しました。IPAの基本情報技術者、情報セキュリティマネジメント、応用情報技術者は持っていますが、どちらかというとネットワーク関連は苦手分野です。

出題範囲について

出題範囲については公式ページでも公開されておりますが、下記2点の内容から出題されるとのことです。

  • 公式トレーニング
    こちらはグローバルセキュリティエキスパート株式会社が主催の有償オンライントレーニングとなります。2日間の講座とハンズオンのトレーニングが行われ、1回分の試験バウチャーがトレーニングについてきます。個人としてはかなりお高めの有償のトレーニングの内容が試験範囲に入っているのはなかなか厳しいですね。講座の受講せずに試験を受験することも可能なので自信のある方はそのまま受けてもいいと思います。

  • 脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士(プラットフォーム)スキルマップ&シラバスの「Silver」 ランク
    試験自体はこちらのスキルマップ&シラバスに書かれている内容を元に作られているため、こちらに書かれている分野からほとんど出ると思って大丈夫だと思います。自分はこれを試験範囲だと思って勉強しておりました。

勉強方法

「トレーニングで配布されたテキスト」と「スキルマップ&シラバス」しか情報がないため、これら二つを中心に勉強しました。具体的にはこれらの資料に出てくる単語については自分で説明できるようにしました。トレーニングのテキストに出てきた各種コマンドについては基本的なパラメーターや使い方、結果の見方なども頭には入っていたと思います。「スキルマップ&シラバス」にあるスキルなども参考になりましたね。 ネットワークの基礎的な部分は「マスタリングTCP/IP入門編」を辞書替わりに単語検索して使用したり、ネットで検索したりしてました。

実際の試験について

試験について少しお話します。 CBT方式で私が受けた会場は地元のPCスクールのような会場でした。本人確認などをいろいろ済ませて、PCにログインすると試験解き方のチュートリアルが始まります。それを終わらせると試験が開始されます。
試験時間は60分、問題は全30問。70%以上で合格なので21問以上正解で合格です。問題は4択の選択問題ですが、複数選択の問題もあったので注意です。おそらく複数選択問題は完答で1問正解として認識されてそうな気がします。試験時間は恐らく余ると思われますのでそんなに急がなくても大丈夫だと思います。私は3周ぐらい解き直してもまだ余裕がありました。試験内容に関しては詳細は言えませんが、しっかり出題範囲の中から出ていた印象です。先述した勉強方法で解ける問題が多かったと思います。分野としてはやはり、技術や診断業務についての問題が多かった印象です。
試験の終了ボタンを押すとその場で合否と正答率が出てきて、各分野ごとの正答率が書かれた紙を印刷して終了となります。

無事合格・受けた後の感想


実はここまで言ってなかったのですが、一回落ちています。前情報もほとんどない状態で受けましたが、ネットワーク弱者には対策なしはきつかったですね。一回受けて出題傾向をつかんで臨んだ2回目での合格です。試験を受けた感想ですが、難易度としては基礎のレベルになると思います。「ネットワーク脆弱性診断をバリバリやってるよ」って方やネットワークのエンジニアの方には簡単だと思います。私のようにこれから「ネットワーク脆弱性診断」を始めようと思っている方などにはいい刺激になる難易度だったかなと思います。是非、このブログを見て合格したって人が増えてくれることを願ってます。

参照ページ

  • セキュリスト(SecuriST)®|認定脆弱性診断士 - GSX|グローバルセキュリティエキスパート株式会社
    www.gsx.co.jp

  • 認定ネットワーク脆弱性診断士 セキュリスト(SecuriST)の合格体験記 - PULSEのブログ
    まだまだ情報が少ない中、こちらの方の合格体験記がとても参考になり助かりました。 pulse21.hatenablog.com

  • 【合格体験記】認定Webアプリケーション脆弱性診断士(SecuriST) - mimichanのブログ
    こちらの方はWebアプリケーション診断士の試験合格体験記でしたが、試験の雰囲気などをつかむ参考になりました。 mimichan1533.hatenablog.com