脆弱性診断士スキルマッププロジェクト

特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG（WG1）と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト （代表 上野宣）」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者（以下、脆弱性診断士）のスキルマップとシラバスを整備しています。

本ワーキンググループに関心のある方は Project leader:Sen UENO まで

作成方針

スキルマップとシラバスの作成を下記の方針に基づいて行っています。

• 脆弱性診断業務に必要な技術的な能力を対象とする
• マネージメントスキルやコミュニケーションスキルは対象外とする
• 脆弱性診断士に必要なスキルを明確化する
• 特定の脆弱性診断ツールや環境に依存しないようにする
• 現在必要だと考えられる技術水準を基に作成する
• 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする

「脆弱性診断士」ランク

脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能（ Silver ランク）と、単独で診断業務を行うために必要な技能（ Gold ランク）を定義した２つのランクに分けています。

Silver ランクは Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています。

Gold ランクは業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています。

脆弱性診断士（Webアプリケーション）

Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です。対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています。

Download

2016年3月7日リリース版

• スキルマップ＆シラバスについて(PDF)
• スキルマップ＆シラバス(PDF)

脆弱性診断士（プラットフォーム）

システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です。対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています。

Download

2016年4月19日リリース版

• スキルマップ＆シラバスについて(PDF)
• スキルマップ＆シラバス(PDF)