SecuriSTの認定Webアプリケーション脆弱性診断士と認定ネットワーク脆弱性診断士に合格したのでその記録です。
筆者の背景・受験の理由
脆弱性診断やペネトレーションテストに従事しもうすぐ5年目です。たまたまトレーニングを受講する機会があり、受講・受験することにしました。
SecuriSTとは
SecuriSTはGSX社が主催するセキュリティ系のトレーニング+資格です。SecuriSTには複数のトレーニングが含まれ、その中に認定脆弱性診断士があります。さらに認定脆弱性診断士は認定Webアプリケーション脆弱性診断士と認定ネットワーク脆弱性診断士の2つに分かれます。長いので以降Web、NWと略します。
WebとNWではその名の通りWebアプリケーション診断とプラットフォーム診断を行うにあたって必要となる知識が出ます。より具体的には脆弱性診断士スキルマッププロジェクトのスキルマップ&シラバス(Web、NW)を確認すると分かりやすいです。受講を迷っている方はスキルマップ&シラバスのSilverの欄を見て理解できるかどうかで決めると良いと思います。
研修・教材の感想
1月下旬に3日間でWeb+NWの研修を受講しました。トレーニングの詳細に関しては公式サイトを確認することが一番ですが、配布された専用テキストをもとに各業務に必要な知識を学び、必要に応じて演習環境で練習する形式でした。
配布テキストは技術的な観点だけでなくビジネスの進め方についても触れられているため、他のセキュリティ資格と比較して実務的であると感じました。技術的な内容は基礎的なものではありますが分かりやすく書かれています。また、実際の手の動かし方は演習環境を用いて学習することができます。初学者には演習環境の構築が壁になることも多いので優しいですね。
また、診断を進めるにあたっての注意事項にはビジネス上で大事なことが記載されているため好きでした。疎通確認や緊急連絡先、オンサイトでは電源や作業場所を確保するなど細かい注意事項が列挙されており、本当にそうだよなぁと思いながら頷きつつ聞いていました。私に資料の編集権限があるなら「オンサイト作業の場合は事前に室温を聞いて、必要なら暖かい服装で臨もう」を追記したいです。
勉強方法・スケジュール
1月下旬に研修を終え、GXPNとCISAを倒して一息ついた3月10日に試験の予約をしました。試験センターは多数あり、3日後以降の申込が可能なため最短の3月13日に申し込むことにしました。平日だったためか場所も時間も自由に選ぶことができました。CBT-Solutionsの予約サイトからログイン不要で「テストセンター空席照会」が可能なため、雰囲気が気になる方は確認してみてください。今回は2つ連続で受験するためWebを3月13日 15:00開始として、NWを45分のバッファを設けて16:45開始で予約しました。
試験に向けた勉強としては、専用テキストの読み込みとスキルマップ&シラバス(Web、NW)の確認を行いました。それ以外の勉強方法が分からなかったというのが正直なところですが、その2つを抑えておけばある程度は問題ないと思います。
試験
近所のテストセンターで2つ連続で受験しました。なお、3月31日までは「5分前までに会場にお越しでない場合受験できない」らしく注意が必要でした。が、2025年4月1日からは30分の遅刻が認められるようです。
CBTSの受験は初めてでしたが、特に困ることもなく順調に進めることができました。問題自体も十分に熟読しておおよそ30分程度で終了しました。ちなみに、退室時には結果の印刷ボタンを押し、ログアウトする必要があります。印刷しないと元の席に戻されるので注意しましょう。最初に渡される注意事項の紙はしっかり読みましょう…。
Web試験終了後、嬉しいことに席が空いているということで待ち時間なしで連続してNW試験を受験することができました。結果としてWebは93.3%、NWは96.6%で合格しました。
認定Webアプリケーション脆弱性診断士と認定ネットワーク脆弱性診断士に合格しました。
SecuriST(Web,NW)受験記(2025年3月)https://t.co/sID9ruYqS0 pic.twitter.com/2bsVjagcqS
— pome (@pome_11) March 13, 2025
感想
初学者にも分かりやすい内容であるため、学習効果を考えると脆弱性診断士を目指す学生や脆弱性診断を発注する担当者に良い研修であると感じました。また、報告書のフォーマットやビジネス上の注意事項が充実しており、脆弱性診断サービスの立ち上げには有効だと思います。
一方で、すでに脆弱性診断に従事する方にとっては内容が既知のものが多く、対外アピール力が薄いためそれほどメリットはないと思いました。公式サイトの累計資格ホルダーを確認すると保有者の少なさが分かりますし、受験チケットが付与されるにもかかわらず受講者の半分未満しか保有者がいない時点で相当数が失効させていることが想像できます。また、デジタル庁の『政府情報システムにおける脆弱性診断導入ガイドライン』や経済産業省の『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示』で触れられていないため、現状では知名度含め顧客への訴求力が弱い可能性があります。
今後の予定
有効期限3年で更新方法は再受験のみであるため、おそらく失効させます。