CompTIA PenTest＋とは？試験概要や資格取得の目的を解説

近年、急成長を遂げているIoT技術は、さらに需要が高まると予想されます。

このIoTの需要の拡大にともない、より強化が必要と考えられる分野が「セキュリティ管理」です。トラブルを復旧しただけでは、同様のトラブルが頻発する可能性を否定できません。

このような問題を解消するプロフェッショナルとして期待されるのが「CompTIA PenTest＋」認定資格です。CompTIA PenTest＋を取得すれば、脅威アクターによる「攻撃」への理解と、解決するための知識、スキルが得られます。

この記事では、CompTIA PenTest＋を取得する目的や期待される能力、試験内容について解説します。

CompTIA PenTest＋とは？概要や修得できるスキルを解説

CompTIAの認定資格は、IT業務に必要な能力を証明する資格であり、世界規模の認知度を誇る認定資格です。CompTIA PenTest＋も例に漏れず、IT技術の発展にともない需要が高まる資格と予想できるでしょう。

ここでは、資格の概要や、認定を受けることで備わる能力などについて具体的に解説します。

CompTIA PenTest＋の概要

CompTIA PenTest＋は、サイバーセキュリティプロフェッショナル向けに行なわれている認定試験で、セキュリティ診断に必要な知識やスキルの修得が可能です。脆弱性の特定や評価、適切な報告スキル、ペネトレーションテストの手法といったスキルを評価されます。

CompTIA認定資格はベンダーニュートラルであり、特定の製品や技術に依存しません。そのため、世界中のニーズに応えられる資格といえるでしょう。2019年3月15日（金）より日本語による試験配信が開始されており、CompTIA認定試験のなかでは比較的新しめのカテゴリーです。

CompTIA PenTest＋には3年の資格保有期限が設けられているため、引き続き資格を保有する際には認定資格の更新を行なう必要があることに留意しましょう。

CompTIA PenTest＋の取得で期待される能力

ネットワーク上の脆弱性を解明するには、最新のペネトレーションテストを行なう手法や、レジリエンス体制の維持や強化を実現する的確な脆弱性評価が不可欠です。

CompTIA PenTest＋を取得すれば、最新のペネトレーションテストの実行により、攻撃側の手法の解明、脆弱性を明確にする能力が備わります。

ほかにも、セキュリティ管理の改善計画や実装など、管理していくうえでのスキルが包括的に身に付けられるでしょう。

従来のIT環境だけでなく、モバイルやクラウド環境などでテストする知識やスキルも含まれており、IoT時代におけるデバイスの多様化にも対応可能です。また、セキュリティ診断の内製化を実現するなど、あらゆる企業のセキュリティ問題に貢献します。

CompTIA認定試験の分類

CompTIAで受けられる資格は全部で13種類あり、種別ごとに大きく分けると「CORE」「INFRASTRUCTURE」「ADDITIONAL PROFESSIONAL」「CYBERSECURITY」の4つです。

CORE

CompTIAでも基本的な内容のCOREに分類された試験では、ITリテラシーやOS関連、ネットワークの実務やセキュリティについての資格取得が可能です。

INFRASTRUCTURE

インフラエンジニアに関連する種別のINFRASTRUCTUREは、サーバーエンジニアやクラウドエンジニア、ネットワークエンジニアなど、技術者のスキルを証明します。

ADDITIONAL PROFESSIONAL

ADDITIONAL PROFESSIONALは専門家向けの試験で、プロジェクトマネジメントや講師、営業に携わる人向けという、ほかの資格とは異なる印象といえるでしょう。

CYBERSECURITY

CompTIA PenTest＋は、CYBERSECURITYに含まれる認定資格で、ITシステムのセキュリティスペシャリストを目指せる資格です。複雑化するネットワーク環境や、セキュリティインシデントに対応する能力を証明するために、CompTIA PenTest＋が誕生しました。

CompTIA PenTest＋認定資格の特徴

前述したように、CompTIA PenTest＋はペネトレーションテストによるレジリエンス管理や脆弱性評価に貢献する認定資格です。ほかにもセキュリティに重点を置いた資格があるなかで、なぜCompTIA PenTest＋が必要なのでしょうか。

ここからは、CompTIA PenTest＋が必要な理由について解説してきます。

IoT時代の「攻撃」に重点を置いた認定資格

CompTIAの認定試験には「防御」に対するスキルを証明するCompTIA CySA＋認定資格があります。一方で、CompTIA PenTest＋は「攻撃」に対するペネトレーションテストや、脆弱性診断などのスキルを証明する認定資格です。

「防御」と「攻撃」の資格がある理由は、ペネトレーションテストにより、攻撃した側の背景や心理、攻撃の手口を分析することにあります。攻撃の手口を見破れば、被害を最小限に抑えるだけでなく、被害を未然に防ぐ、あるいは再発防止につなげるなど、効果的な防御方法を見つけられるでしょう。

特に、クラウドに構築しているシステムやIoTデバイスなどは、サイバー攻撃の標的にされやすい環境と考えられます。CompTIA PenTest＋は、時代に即した頼もしいセキュリティスキルの一つとして貢献するでしょう。

サイバーセキュリティのキャリアパスで中級のスキル

IT技術の進化や普及にともない、セキュリティ管理を行なう人材のニーズに高まりが見られると同時に、IT業界の人材不足にも目を向けなければなりません。

IT業界のなかでもセキュリティ関連の人材不足を解消すべく、CompTIAでは「CompTIA Cybersecurity Career Pathway」を策定しています。その目的は、業務内容に適したレベルの認定資格を提供し、あらゆる業務環境に応じられる能力の人材を効率的に輩出することです。

CompTIA PenTest＋は、ITセキュリティの分析やツールスキルなどを認定するCompTIA CySA＋と並び、中級スキルに位置します。どちらの認定資格も、CompTIA Security＋の上位資格という認識でよいでしょう。

CompTIA Security＋は網羅的なセキュリティ管理を認定する資格であるのに対し、CompTIA PenTest＋はペネトレーションテストに特化した資格です。

試験の形式や推奨される実務経験

CompTIA PenTest＋の試験概要について確認しましょう。

試験に設けられた時間は165分、問題数は最大で80問、合格ラインは100〜900スコアで採点され、合格ラインは750スコア以上です。

出題形式は単一と複数選択の問題、パフォーマンスベーステストで構成されています。

パフォーマンスベーステストは、トラブルシューティングや設定をシミュレーション環境内で実践する設問です。

パフォーマンスベーステストの解答中は、試験時間の確認ができません。時間配分に注意し、全問解答できるように心がけましょう。

また、CompTIA PenTest＋の受験には、3年〜4年間のペネトレーションテスト、脆弱性評価、脆弱性管理の実務経験が推奨されていますが、実務経験がなくても受験は可能です。

CompTIA PenTest＋試験の出題範囲

CompTIAの認定試験は、専門分野のエキスパートや調査結果に基づいて作成されており、実践で必要とされる知識やスキルが適切な割合で集約されていると考えられます。

CompTIAの資料をもとに出題範囲などを解説しますので、学習計画の参考にしてください。

計画とスコープ

「計画とスコープ」では、計画およびコンプライアンスに基づくアセスメントの重要性を問われます。エンゲージメントを計画する重要性や主要な法的概念、エンゲージメントでの適切なスコープへの理解について問われる分野です。

脅威アクター対策の一つとして、さまざまな要素に対する適切なアセスメントやスコープについても考える必要があります。

出題比率は15％ですが、ペネトレーションテスターとして活躍するために必要な知識が非常に多い分野といえるでしょう。

情報収集と脆弱性の識別

「情報収集と脆弱性の識別」は、エクスプロイトの準備に情報を活用するプロセスや、脆弱性スキャンの実行および結果の分析などを問われる分野で、出題比率は22％です。

与えられたシナリオから、エクスプロイトに必要な情報収集や、脆弱性スキャンで考慮すべきこと、スキャン結果による分析が可能かどうかなどを問われます。

この分野では、説明ができるだけではなく、実践的なスキルが身に付いているのかも試されることを留意して試験に臨む必要があるでしょう。

攻撃とエクスプロイト

出題比率30％の「攻撃とエクスプロイト」では、エクスプロイトや物理セキュリティ攻撃の検討、さらにエクスプロイト防止のテクニックなどが問われます。

ネットワークやアプリケーション、ワイヤレスとRFをベースとした脆弱性の利用、ソーシャルエンジニアリング攻撃の比較対照などを中心とした分野です。

出題範囲が広く、知識と実践的なスキルが必要な分野のため、ラーニングプラットフォームなどを利用して演習を重ねる勉強法が効果的でしょう。

ペネトレーションテストツール

出題比率17％の「ペネトレーションテストツール」では、さまざまなツールによる情報収集演習の実施や、基本的なスクリプトの分析を問われます。

この分野では、ツール使用例の比較対照における能否が問われますが、特定ベンダーの機能テストではありません。目的を見失わないように注意しましょう。

出力されたデータの分析や、情報収集演習といった実践的な内容が多いため、ラーニングプラットフォームなどを活用した勉強法でスキルを磨くのが効果的です。

報告とコミュニケーション

出題比率16％の「報告とコミュニケーション」では、発見された脆弱性に対する緩和策の説明や、ベストプラクティスの使用について出題されます。

与えられたシナリオに対し、適切なレポートの作成、レポート後のアクティビティ、軽減戦略の提案ができなければなりません。

また、エスカレーションの解消や状況認識など、ペネトレーションテストにおけるコミュニケーションの必要性に理解を深める必要があります。解消できる課題を明確にし、迅速な解決につなげましょう。

CompTIA PenTest＋試験合格に向けた勉強法とは

CompTIAの公式サイトには、各認定の類似問題が掲載されています。まずは類似問題に挑戦し、解答に要する時間の計測や、自身の知識レベルを体感するとよいでしょう。

出題範囲と照らし合わせながら自分のペースで学習したい場合は、CompTIAが2020年にリリースした日本語版の公式テキストを活用するのも効果的です。

公式テキストは試験内容に限りなく準拠していると考えられるため、購入するテキストに悩んでいる方は、公式テキストの利用を検討してみてはいかがでしょうか。

効率的かつ結果に結び付きやすい勉強法には、認定資格教材の通信講座やeラーニングを活用した勉強法が挙げられます。

自身のペースや環境に適した勉強法により、無駄のない効率的な学習が可能です。

また、公式サイトの資料「CompTIA PenTest＋認定資格試験出題範囲」には、試験で使用される略語の一覧が掲載されています。すでに学習している内容が含まれているかもしれませんが、徹底した試験対策のために改めて理解を深める必要があるでしょう。

CompTIA PenTest＋はさまざまな企業に貢献する資格

CompTIAの認定資格はベンダーニュートラルであり、資格を取得すればあらゆる企業に貢献すると考えられます。

日々進化し続けるIT業界では、IoT製品の普及や拡大も予想されるため、これまで以上にセキュリティ管理能力の需要や、資格保有者への市場価値は高まるでしょう。セキュリティ人材の不足が懸念されているなかで、資格取得の支援を行なっている企業も存在します。資格取得支援により、効率的かつ高い効果を得られる資格取得を目指してみてはいかがでしょうか。

なお、パソナテックでは市場価値を高めたいインフラエンジニアに向けて、CompTIA認定資格の取得を始めとした、様々な支援を行っています。市場価値が高い技術革新の担い手を目指しているインフラエンジニアの方は、是非一度ご確認ください。
パソナテックのインフラエンジニア支援プログラム