脆弱性診断士（プラットフォーム）スキルマップ＆シラバスについて

はじめに

近年、ITシステムのさらなる普及に伴い、様々なシステムに対する攻撃に起因する情報漏えいや経済的損失などの被害が発生していることを受け、システムのリリース前に脆弱性の有無を調査する脆弱性診断を行い、問題点を修正するという脆弱性診断の一連の営みに関する重要性が高まっている。脆弱性診断を行うためにはソフトウェアやネットワークなどの基本的な素養にはじまり、各種脆弱性診断ツールの使用手順や最新の技術動向へのキャッチアップなど、多岐に渡るスキルが必要とされる。しかし、脆弱性診断に関して保有すべき具体的なスキルマップや、学習の指針となるシラバスが関係者間で統一されていない。そのため、脆弱性診断を行う技術者やサービス事業者の技術力には差違が見られる。一方で、その差違は脆弱性診断サービスを利用する利用者には判りづらく、事業者も可視化することが難しい状況である。

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の日本セキュリティオペレーション事業者協議会（ISOG-J）のセキュリティオペレーションガイドラインワーキンググループと、OWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト（代表上野宣、以下本WG）」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者（以下、脆弱性診断士）のスキルマップとシラバスを整備している。

スキルマップとシラバスの作成を下記の方針に基づいて行った。

脆弱性診断業務に必要な技術的な能力を対象とする
マネージメントスキルやコミュニケーションスキルは対象外とする
脆弱性診断士に必要なスキルを明確化する
特定の脆弱性診断ツールや環境に依存しないようにする
現在必要だと考えられる技術水準を基に作成する
脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする

「脆弱性診断士」について

脆弱性診断士は、高い倫理を持ち、適切な手法でITシステムの脆弱性診断を行える者であり、脆弱性診断士スキルマップで求める技術や知識を保有している者に対して与えられる呼称である。脆弱性診断士の業務に係わる各分野で使用できるようにスキルマップを明確にした。以下のような分野/用途を想定しているがこれに限定するものではない。

人事関連分野の用途
- 採用基準、能力判定、人事評価基準、セキュリティエンジニアの人材育成
開発関連分野の用途
- リリース前の要件、システムの品質向上
発注関連分野の用途
- 入札仕様、診断サービス依頼先の選定

これらを通じて、脆弱性診断士の地位向上、待遇改善、給与向上につながることを目指している。また、脆弱性診断士が魅力ある職業として認知されることにより、セキュリティ事業を志す優秀な人材が増えることを期待しており、就職活動、教育活動を行なう上で基礎を規定する役割の一端を担うことも目指している。

「脆弱性診断士」区分

脆弱性診断の対象によって、脆弱性診断士に必要とされる技術、知識が異なるため、それぞれの対象をいくつかに分け、対象毎に脆弱性診断士を区分することとした。

脆弱性診断士(Webアプリケーション)

Webアプリケーション/Webシステムに対する脆弱性診断を行う者を対象に「脆弱性診断士(Webアプリケーション)」という区分を設ける。この脆弱性診断士の対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定する。