ユービーセキュアは、グローバルセキュリティエキスパート(GSX)とともに、ユービーセキュアのVexトレーニングとGSXのセキュリスト(SecuriST)認定資格制度を用い、国内において数十万人規模の不足と言われているサイバーセキュリティ人材の育成に加え、すでに活躍しているサイバーセキュリティ人材の実力底上げに取り組んでいます。

ユービーセキュア_GSX

必要性が叫ばれる脆弱性診断、その学びのハードルの高さとは

「脆弱性診断」は、セキュリティのコアスキルでありながら、今までその診断技術を広くトレーニングする環境や、そのスキルを評価・認定する制度は確立されていませんでした。システムの開発・運用に関わる人全てがセキュリティテスト(脆弱性診断)を実施できるようになれば、より早く、より安全に開発や運用ができるようになります。その結果、セキュリティの面からも、DX推進の面からも、よりよい社会の実現に向けた仕組みを推進することが可能になります。

脆弱性診断は、その名称から「難しいもの」「専門家だけが学ぶもの」というイメージを持たれてしまい、エンジニアであっても進んで学ぶ対象と見られてこなかった背景があります。また診断業務を行っている企業内においても、体系化されたトレーニングよりも、OJTと現場経験を重視する風潮が強く、初学者が一人でセキュリティテストを行えるようになるには、大きなハードルがありました。

一方、スキルを評価するという観点からは脆弱性診断を行うエンジニアの技術水準の客観的評価は容易ではなく、海外資格においてペンテスターの評価制度と資格は存在するものの、セキュリティテスト(脆弱性診断)についての広く普及した評価基準は今日存在しません。脆弱性診断やペネトレーションテストを提供する企業の大半が、診断に携わるエンジニアにDEF CONなど国内外のCTFイベントへの参加やJVNへの脆弱性報告、各種バグバウンティへの参加を奨励あるいは業務の一部として積極的に推奨しているという現実があります。これは、そうした活動を通したエンジニアの成長を見込んでいるだけでなく、自社のエンジニアの技術水準を外部や顧客に明示する目的もあり、それは客観的な評価基準が存在しないことの裏返しでもありました。

こうした実態があり、「認定脆弱性診断士」という必要な技倆が定義されました。ユービーセキュアとGSXは、トレーニングや資格というやり方を用いて、認定脆弱性診断士としての知識や技術力の向上を図れるように整備し、先の課題解決に向けて動いています。ユービーセキュアからは、Vexトレーニングと、そのトレーニング受講とVex Certification資格の取得によって相応の技術力を保有していることを示すことができる認定試験の仕組みを整備しました。また、GSXからは、セキュリスト(SecuriST)認定脆弱性診断士トレーニングによって、知識だけでなくハンズオンで繰り返し学べるトレーニングと、身につけたスキルを判定する認定試験の仕組みを整備しました。

依然として山積するサイバーセキュリティ人材に対する課題について

この取り組みは、国内に依然として山積するサイバーセキュリティ人材に対する課題として掲げられている人材不足*1の解決に加えて、すでに現場で活躍しているサイバーセキュリティ人材のさらなる技術力強化のための育成として、サイバーセキュリティ市場全体へのアウェアネスを高め、ユービーセキュア及びGSXで創出するセキュリティエンジニア自体の母数と技量ある人材を増加する取り組みによって、日本国内のお客様課題解決へ繋がることを意図しています。国内における多くのITエンジニア全般へ、GSXはセキュリスト(SecuriST)認定脆弱性診断士トレーニングの普及、ユービーセキュアはVexトレーニングの普及によって、セキュリティ人材育成に尽力します。

※1:【出典】セキュリティ人材育成の最前線 ~ NICT におけるセキュリティ人材育成事業 ~
国立研究開発法人情報通信研究機構(NICT)|https://www.soumu.go.jp/main_content/000675194.pdf

情報セキュリティ人材の不足数の規模
  • 我が国の情報セキュリティ人材は、2020年の時点において約19.3万人不足するといわれている
    ※「IT人材の最新動向と将来推計に関する調査結果」経済産業省商務情報政策局 2016.6.10付
  • このうち、 ITベンダー・WEB企業等「ITベンダー側」を除く、「ITユーザー側」の不足数は約17.8万人となることが推計される
    ※不足数に関する数字は、NICTにおいて、前記報告書等を参考とするなどして算出

Vex Certificationとは

https://www.ubsecure.jp/training/ubsecure-certification
DASTツール(Vex)を活用した脆弱性診断を実施するスキルの評価制度です。現在、Entryレベル、Associateレベルと2つのレベルが設定されています。中でもAssociateレベルは、「知識を身に着ける」だけではなく、実務が「出来る」にフォーカスしたトレーニング、認定試験です。実力主義の「出来る」を測定するため、認定試験は脆弱性診断業務をトレースした実技試験で構成されています。
サイバーセキュリティ業界において「実」力を示すことのできる資格として多くの方に資格取得をしていただいています。

セキュリスト(SecuriST)認定脆弱性診断士とは

https://www.gsx.co.jp/academy/WebAppNWSecurityTesting.html
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)に必要な技術やスキルをハンズオン含むトレーニングで身に着け、さらにそのスキルを認定試験で認定する仕組みになります。
本認定は、JNSA配下の日本セキュリティオペレーション事業者協議会(ISOG-J:Information Security Operation providers Group Japan)のセキュリティオペレーションガイドラインWG(WG1)、および、OWASP Japan主催の共同ワーキンググループである 脆弱性診断士スキルマッププロジェクト(代表 上野 宣 氏)で定義しているスキルマップの「Silver」レベル相当の知識、技術を身に着けていることを認定するものです。認定試験を受験し、合格することで「脆弱性診断士」として認定されますので、人事や発注に関する定性的な評価にもご活用いただけます。

 

この取り組みは、2021年6月9日 グローバルセキュリティエキスパート株式会社の"PR・お知らせ"に掲載されました。
(原文:https://www.gsx.co.jp/pr/index.html