Pentester Skillmap Project JP

= 脆弱性診断士スキルマッププロジェクト = 特定非営利活動法人日本ネットワークセキュリティ協会の日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG（WG1）と、OWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト （代表 上野宣）」では、脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者（以下、脆弱性診断士）のスキルマップと学習の指針となるシラバス、脆弱性診断を行うためのガイドラインを整備しています.

本ワーキンググループに関心のある方は Project leader:Sen UENO まで

= Webアプリケーション脆弱性診断ガイドライン = Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られないと本プロジェクトでは考えており、そのため手動診断補助ツールを使った手動診断を併用することが望ましいとしています. しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違があります. そこで本プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」（以下、本ガイドライン）を作成し公開します.

本ガイドラインは「脆弱性診断士」における「脆弱性診断士（Webアプリケーション）」区分における「Silver」ランクで要求される内容としています.

Download
2018年5月18日リリース版
 * Webアプリケーション脆弱性診断ガイドライン（EXCEL版）
 * Webアプリケーション脆弱性診断ガイドライン（PDF版）
 * Webアプリケーション脆弱性診断ガイドラインについて
 * Webアプリケーション脆弱性診断ガイドライン利用のためのドキュメント

= 脆弱性診断士スキルマップ＆シラバス =

作成方針
スキルマップとシラバスの作成を下記の方針に基づいて行っています.
 * 脆弱性診断業務に必要な技術的な能力を対象とする
 * マネージメントスキルやコミュニケーションスキルは対象外とする
 * 脆弱性診断士に必要なスキルを明確化する
 * 特定の脆弱性診断ツールや環境に依存しないようにする
 * 現在必要だと考えられる技術水準を基に作成する
 * 脆弱性診断士が持つべきスキルの指標とするものであり、各社が提供する脆弱性診断サービスの品質については対象外とする

「脆弱性診断士」ランク
脆弱性診断士のランクを定義するにあたっては、脆弱性診断業務に従事する者が全員知っておくべき技能（ Silver ランク）と、単独で診断業務を行うために必要な技能（ Gold ランク）を定義した２つのランクに分けています.

Silver ランク
Gold ランクの者から指導を受けた上で診断サービスを提供する、もしくは、自社向けに脆弱性診断を実施するための必要スキルとして設定しています.

Gold ランク
業務としての脆弱性診断サービスを提供するチームにおいて、最低限1名以上メンバーに加えるべきスキルとして設定しています.

脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス
Webアプリケーション/Webシステムに対する脆弱性診断を行う者が対象です. 対象者像としては、Webアプリケーション/Webシステムの脆弱性診断を必要とする者、Webアプリケーション/Webシステムの開発者、運用者を想定しています.

Download
2018年5月18日リリース版
 * スキルマップ＆シラバスについて(PDF)
 * スキルマップ＆シラバス(PDF)

脆弱性診断士（プラットフォーム）スキルマップ＆シラバス
システムのプラットフォーム部分に対する脆弱性診断を行う者が対象です. 対象者像としては、システムのプラットフォーム部分の脆弱性診断を必要とする者、システムのプラットフォームの構築者、運用者を想定しています.

Download
2016年4月19日リリース版
 * スキルマップ＆シラバスについて(PDF)
 * スキルマップ＆シラバス(PDF)