脆弱性診断士が認定資格に、早ければ来春に第一号合格者誕生か

　脆弱性診断を行う技術者が保有する知識や経験、技倆を認定する「脆弱性診断士」の資格を作る準備が現在進んでおり、早ければ2021年春にも1回目の試験が行われる予定であることが関係者への取材で9月29日明らかになった。

　情報セキュリティやサイバーセキュリティに関する資格は、国家や各種団体、企業が認定するものなど幅広く存在し、国家資格である情報処理安全確保支援士や、(ISC)2が認定するCISSP、EC-CouncilのCEHなどが有名である。

　今回新たに設けられる資格は、日本セキュリティオペレーション事業者協議会（ISOG-J：Information Security Operation providers Group Japan）とOWASP Japanとの共同ワーキンググループ「脆弱性診断士スキルマッププロジェクト」が、2016年と2018年に広く一般に向けて公開した成果物「脆弱性診断士（プラットフォーム／Webアプリケーション）スキルマップ＆シラバス」に準拠して準備される。

　脆弱性診断を行うエンジニアの技術水準の客観的評価は容易ではない。脆弱性診断やペネトレーションテストを提供する企業のうち少なくない数が、診断に携わる技術者に毎夏ラスベガスで開催されるDEF CONなど国内外のCTFイベントへの参加や、JVNへの脆弱性報告、各種バグバウンティへの参加を黙認または奨励、あるいは業務の一部として積極的に推奨してすらいるのは、そうした活動によるエンジニアの成長と研鑽という狙いはもちろんだが、それだけでなく、自社のエンジニアの技術水準を外部や顧客に示す目的もあり、それは客観的な評価基準が存在しないことの裏返しでもあった。

　一方で、優れたCTF戦績やJVN報告件数等で突出する一部の「診断のスター企業」に診断依頼が殺到することで、長い場合半年一年単位の待ち行列を生むなど、肝心の診断品質と別の面でのユーザー企業側のサービスへの不満足を生んでいる実態があった。

　また、CTFやバグバウンティで成果をおさめるセンスや能力と、診断サービスに求められる安定性・網羅性・多量の反復作業の正確性・誤字脱字なく報告書を仕上げる等々のセンスや能力は、全てが一致するものではなかった。加えて、技術者側としては自己の能力を本番の業務以外のところで証明し続けなければならないプレッシャーもあった。

　脆弱性診断士に必要な技倆が定義されそれを認定する教育研修と試験の仕組が整備されることで、こうした問題が解決の方向に向かうだけでなく、新規参入等も促され、決定的に不足する人材を育てる道も開ける。

　この脆弱性診断士の資格作りは、株式会社トライコーダと、グローバルセキュリティエキスパート株式会社（GSX）が共同のビジネスとして進める。GSXは、監査法人系の手堅い事業領域を攻めつつ、同時に日本で最初にタイガーチームを設立するなど、長きに渡りセキュリティ専業コンサルティング企業として活動してきたが、2018年4月に現代表取締役社長の青柳史郎氏の体制になると、慢性的な市場のセキュリティ人材不足を手当するため「サイバーセキュリティ教育カンパニー」を社是に掲げ事業スタイルを変貌させ、セキュリティ人材育成と市場への供給を加速させている。

　現在トライコーダとGSXは、各種調整を行っている最中で、並行して年内に開始する予定の研修コースと、試験問題の準備を進める。本資格に関する詳細は10月にも同社から発表される予定。

　診断業界の景色が少し変わるかもしれない。続報が入り次第本誌は今後本件の行方を報じていく。