Pentester Skillmap Project JP

= 脆弱性診断士スキルマッププロジェクト = 特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG（WG1）と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト （代表 上野宣）」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者（以下、脆弱性診断士）のスキルマップと学習の指針となるシラバス、脆弱性診断を行うためのガイドライン、Webアプリケーションを安全に構築するために必要な要件定義書などを整備しています.

本ワーキンググループに関心のある方は Project leader:Sen UENO まで

= ペネトレーションテストについて = コンピュータシステムに対して実施するセキュリティテストの1つとして「脆弱性診断」がよく知られています. 「脆弱性診断」は本プロジェクトでも紹介しているような脆弱性を発見するためのセキュリティテストの手法です.

一方で最近は「ペネトレーションテスト」を採用する組織や、ペネトレーションテストサービスを提供する事業者（テストベンダー）が増えてきました. ただ、現状では「ペネトレーションテスト」という名称に共通認識がなく、テストベンダーによっては「脆弱性診断」のことを「ペネトレーションテスト」と呼んでいることもあり、テストを採用する組織が目的に合ったサービスを見分けることが難しくなっています.

本ドキュメントは「ペネトレーションテスト」の位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的としています.


 * ペネトレーションテストについて（2019年12月8日版）

= Webシステム／Webアプリケーションセキュリティ要件書 = 本ワーキンググループが公開する『Webシステム／Webアプリケーションセキュリティ要件書 』ドキュメントは、Webシステム／Webアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件について記載しています. また、開発言語やフレームワークなどに依存することなくご利用いただけます. ただし、ネットワークやホストレベル、運用などに関するセキュリティ要件については記載していません.

Ver.3.0からはチェックリストとして活用しやすい「Webシステム／Webアプリケーションセキュリティ要件書チェックリスト」も公開しています.

Download
2019年1月15日リリース版
 * Webシステム／Webアプリケーションセキュリティ要件書 Ver.3.0（GitHub）
 * Webシステム／Webアプリケーションセキュリティ要件書（WORD版）
 * Webシステム／Webアプリケーションセキュリティ要件書（PDF版）
 * Webシステム／Webアプリケーションセキュリティ要件書チェックリスト（EXCEL版）
 * Webシステム／Webアプリケーションセキュリティ要件書チェックリスト（PDF版）

= Webアプリケーション脆弱性診断ガイドライン = Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られないと本プロジェクトでは考えており、そのため手動診断補助ツールを使った手動診断を併用することが望ましいとしています. しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違があります. そこで本プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」（以下、本ガイドライン）を作成し公開します.

本ガイドラインは「脆弱性診断士」における「脆弱性診断士（Webアプリケーション）」区分における「Silver」ランクで要求される内容としています.

Download
2018年5月18日リリース版
 * Webアプリケーション脆弱性診断ガイドライン（EXCEL版）
 * Webアプリケーション脆弱性診断ガイドライン（PDF版）
 * Webアプリケーション脆弱性診断ガイドラインについて
 * Webアプリケーション脆弱性診断ガイドライン利用のためのドキュメント
 * ガイドラインを使いこなすためのリンク集

= 脆弱性診断士スキルマップ＆シラバス =

作成方針
スキルマップとシラバスの作成を下記の方針に基づいて行っています.
 * 脆弱性診断業務に必要な技術的な能力を対象とする
 * マネージメントスキルやコミュニケーションスキルは対象外とする
 * 脆弱性診断士に必要なスキルを明確化する
 * 特定の脆弱性診断ツールや環境に依存しないようにする
 * 現在必要だと考えられる技術水準を基に作成する
 * 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする

「脆弱性診断士」ランク
脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能（ Silver ランク）と、単独で診断業務を行うために必要な技能（ Gold ランク）を定義した２つのランクに分けています.

Silver ランク
Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています.

Gold ランク
業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています.

脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス
Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です. 対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています.

Download
2018年5月18日リリース版
 * スキルマップ＆シラバスについて(PDF)
 * スキルマップ＆シラバス(PDF)

脆弱性診断士（プラットフォーム）スキルマップ＆シラバス
システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です. 対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています.

Download
2016年4月19日リリース版
 * スキルマップ＆シラバスについて(PDF)
 * スキルマップ＆シラバス(PDF)