世界のサイバー犯罪コストは、今後数年間で15%増加すると予想されています。世界的に見ると、これは年間10兆ドルに相当します。新型コロナウイルス感染症(COVID-19)はサイバー犯罪を加速させましたが、ランサムウェア攻撃は2020年以降実質的に倍増しています。チェック・ポイント・リサーチによると、平均して毎週約1,000の組織が何らかの形でランサムウェアの影響を受けています。組織はこれまで以上に、機密データが悪者の手に渡るのを防ぐことが不可欠になっています。
CompTIA PenTest+ 試験の 新バージョンは、クラウド、ハイブリッド環境、Web アプリケーションなどの最新の攻撃対象領域に対する現在の侵入テスト手法と、より倫理的なハッキングの概念、 脆弱性スキャン 、 コード分析を反映しています。
サイバーセキュリティのキャリアのランクを上げるにつれて、侵入テストの技術スキルと脆弱性管理スキルを向上させることが求められます。CompTIA PenTest+は、脆弱性スキャン、法的およびコンプライアンス要件の理解、結果の分析、修復技術を使用した書面によるレポートの作成など、ペネトレーションテスターやセキュリティコンサルタントがペネトレーションテストの取り組みを計画および範囲設定するために任務を負う中級レベルのサイバーセキュリティスキルを提供します。
CompTIA PenTest+ を持つサイバーセキュリティ専門家が次の仕事にどのように適しているかを詳しく見てみましょう。
- ペネトレーションテスター
- セキュリティアナリスト
- セキュリティコンサルタント
- 脆弱性アナリスト
- Webアプリペネトレーションテスター
CompTIA PenTest+ は、IT プロフェッショナルがサイバーセキュリティの仕事にどのように備えるのでしょうか?
まず、CompTIA PenTest+ がサイバーセキュリティの専門家をこれらのポジションにどのように準備するかを見てみましょう。CompTIA 試験は 、IT プロフェッショナルが集まり、特定の職務を遂行するために必要な知識、スキル、能力について話し合う集中的なプロセスを通じて開発されることに注意 することが重要です。したがって、CompTIA PenTest+ でカバーされるトピックは、サイバーセキュリティの専門家が今日必要としている知識、スキル、能力と一致していることを確認できます。
上記のサイバーセキュリティの仕事のいずれかで成功するには、個人が次のことを実行できる必要があります。
- ペネトレーション テストのエンゲージメントを計画し、範囲を設定する
- 法的要件と コンプライアンス 要件を理解する
- 適切なツールと手法を使用して脆弱性スキャンと 侵入テストを実行し、結果を分析します。
- 提案された修復手法を含む書面によるレポートを作成し、結果を経営陣に効果的に伝え、実践的な推奨事項を提供します。
これらのスキルがまさに CompTIA PenTest+ でカバーされているものであることは偶然ではありません。(試験の目的を確認してください)組織は、最新のペネトレーションテストに沿ったタスクと、攻撃に対するネットワークの回復力を判断するために必要な脆弱性評価と管理スキルを自信を持って処理できる、資格のあるサイバーセキュリティの専門家の雇用を検討しています。そして、これらのポジションの給与の中央値がそれを裏付けています。
CompTIA PenTest+ で得られる 5 つの仕事
CompTIA PenTest+ 認定資格をお持ちの場合は、次の需要の高いサイバーセキュリティの仕事のいずれかに興味があるかもしれません。
1. ペネトレーションテスター
コンピューター、アプリケーション、ネットワークの脆弱性を明らかにすることがエキサイティングに思える場合は、ペネトレーション テスターが最適な仕事かもしれません。
ペネトレーションテスターは、サイバー防御機能をテストし、セキュリティホールを見つけて、攻撃者が利用する前に塞ぐ責任があります。
コンプライアンスを確保し、次の方法で組織を保護します。
- ペネトレーションテストに適切なツールを適用
- ソーシャルエンジニアリングテストを実行し、必要に応じて物理的なセキュリティを確認します
- 最新のテストとハッキング手法を常に最新の状態に保つ
- データを収集し、テスト手法を導入
- 脆弱性の特定、評価、管理
CompTIA PenTest+は、これらの正確なスキルを実行し、効果的なリスク管理手法をサポートできることを雇用主に示します。
たとえば、CompTIA PenTest+ 試験の Planning and Scoping では、受験者はガバナンス、リスク、コンプライアンスの概念を比較対照する方法を知っている必要があります (1.1)。これには、Payment Card Industry Data Security Standard (PCI DSS) や General Data Protection, Regulation (GDPR) などの規制コンプライアンスに関する考慮事項の理解が含まれます。侵入テスターは倫理や適切な承認なしに運営すると刑事責任を問われる可能性があるため、これは重要です。
遭遇した脆弱性に伴う実際のリスクを示すことが重要であるため、ペネトレーションテスターの需要が高まっているのも不思議ではありません。そして、あなたはあなたの知識に対して報われるでしょう。ペネトレーションテスターの年収の中央値は120,662ドル(Cyberseek.org)です。
2. セキュリティアナリスト
セキュリティアナリストは、組織のデータのセキュリティを維持します。たとえば、偵察プロセスの段階では、システムのセキュリティ対策を分析して有効性を判断し、問題を伝達し、改善のための変更を提案します。
サイバーセキュリティアナリストは、サイバー脅威を検出し、次の方法で組織を保護するための変更を実装します。
- ネットワーク上のアクティビティ を監視するための ツールを管理および構成します
- これらのツールからのレポートを分析して、ネットワーク上の異常な動作を特定します。
- 侵入テスト、脆弱性スキャン、脆弱性評価レポートを通じて、ネットワークの脆弱性をプロアクティブに特定します。
- ネットワークのセキュリティを強化するための変更を計画し、推奨します
- 適切なセキュリティ対策に関するスタッフ教育の実施
CompTIA PenTest+は、情報セキュリティまたは関連の経験が3〜4年以上あるITプロフェッショナルに最適です。CompTIA PenTest+ は、セキュリティ アナリストが実践的なスキルを常に把握し、あらゆる規模の組織でサイバーセキュリティ アナリストとして機能する能力を検証するのに役立ちます。
たとえば、試験の領域であるレポートとコミュニケーションでは、受験者は結果を分析し、レポート内で適切な是正を推奨できる必要があります (4.2)。これには、システムの強化などの技術的な制御や、ロールベースのアクセス制御などの管理制御が含まれます。報告は、規制を遵守するために特に重要です。
CompTIA PenTest+ 保有者は、結果を分析し、修復技術を使用して書面によるレポートを作成する責任があります。彼らはデータを収集し、積極的な偵察を行い、それを報告可能な情報に統合します。このレポートでは、弱点を指摘し、セキュリティを向上させるための推奨事項を示します。これが、セキュリティアナリストがCompTIA PenTest+の恩恵を受ける理由です。 CyberSeekによると、 セキュリティアナリストの平均年収は107,517ドルです。
3. セキュリティコンサルタント
セキュリティアナリストと同様に、セキュリティコンサルタントは、コンピューターシステム、ソフトウェアプログラム、およびネットワークの脆弱性を発見し、悪意のある行為者やハッカーに対してシステムを強化するソリューションを開発します。これらの個人はコンサルタントの役割を担っているため、侵入テストと脆弱性管理のあらゆる側面に非常に専門的である傾向があります。セキュリティコンサルタントは、1つの組織で働いたり、複数のクライアントと相談したりする場合があるため、監視と保護を担当する大量のデータにより、部門横断的に作業できる必要があります。
セキュリティコンサルタントは、データおよびネットワークデバイスの機密性、整合性、可用性を次の方法で保護するためのトレーニングを受けたITプロフェッショナルです。
- マネージャー、エンジニア、その他のサイバーセキュリティアナリストと緊密に連携して、組織のリスクを軽減します
- システムの脆弱性の監督・テストを実施
- ITプロジェクトのセキュリティアーキテクチャを計画および設計します
- 必要に応じてセキュリティシステムの更新とアップグレード
- 調査結果を経営陣に伝える
セキュリティコンサルタントとしてのキャリアのためのスキルの多くは、CompTIA PenTest+で検証できます。これは、誰かがシステム上でテストを実行し、あらゆる環境内で潜在的な問題や侵害を検索するために必要なスキルを持っていることを示しています。
たとえば、試験ドメインの「攻撃とエクスプロイト」では、受験者はソーシャルエンジニアリングまたは物理的攻撃を実行する必要があります(3.6)。これには、電子メールフィッシング、ショートメッセージサービス(SMS)フィッシング、水飲み場攻撃、共連れ、ショルダーサーフィン、バッジクローン作成が含まれます。CompTIA PenTest+ は、複数の攻撃対象領域を保護する必要があるという事実に具体的に対処するために更新されました。
組織は、データや機密情報を保護するためにセキュリティコンサルタントを雇っています。脆弱性による侵害は、消費者の信頼に影響を与え、組織の財務に大混乱をもたらす可能性があるため、ほとんどの組織にとってセキュリティが最優先事項となっています。CompTIA PenTest+ は、侵入テストとエクスプロイト後の手法を実行するためのベスト プラクティスを評価します。
セキュリティコンサルタントの平均給与は年間93,000ドル(CyberSeek.org)
4. 脆弱性アナリスト
脆弱性アナリストは、ネットワークやソフトウェアの弱点を検出し、システム内のセキュリティを修正および強化するための対策を講じます。
職務には次のものが含まれます。
- ネットワーク、オペレーティングシステム、アプリケーションのリスクベースの軽減戦略を策定
- 脆弱性と緩和結果をコンパイルおよび追跡し、プログラムの有効性を定量化します
- 脆弱性管理ポリシー、手順、およびトレーニングを作成および維持します
- 情報セキュリティ・ソリューションの要件をレビューして定義します
- ネットワークベースのスキャンを整理して、ネットワークセキュリティ攻撃の可能性を特定し、ホストベースのスキャンを整理して、ワークステーション、サーバー、その他のネットワークホストの脆弱性を特定します。
CompTIA PenTest+ は、脆弱性アナリストとしての地位に昇進する際に役立ちます。たとえば、試験ドメインの情報収集と脆弱性スキャンでは、受験者は脆弱性スキャンを実行できる必要があります (2.4)。これには、スキャンの実行時間、プロトコル、ネットワーク トポロジ、帯域幅の制限を考慮することや、ステルス スキャン、伝送制御、プロトコル接続スキャン (TCP) などのさまざまなスキャン方法を知ることが含まれます。
組織は脆弱性を効率的に軽減し、運用への不必要な危険を回避する必要があります。CompTIA PenTest+ は、脆弱性スキャンとパッシブ/アクティブ偵察の実行、脆弱性管理、および偵察演習の結果の分析をカバーします。
これらのアナリストのスキルの必要性の重要性を考えると、彼らが高額に支払われるのも不思議ではありません。脆弱性アナリストの年収の中央値は120,662ドル(BLS)です。
5. Webアプリペネトレーションテスター
組織は、Web アプリケーション、モバイル アプリケーション、API を日常業務に使用して、Web サイトでのユーザー アカウントの作成やトランザクションの完了など、機密データを使用する可能性のある自動化されたアクティビティを実行します。侵害の被害に遭う組織が増えるにつれ、ソフトウェア開発ライフサイクル(SDLC)だけでなく、継続的なWebアプリケーションのメンテナンスに対しても適切なセキュリティ制御を設定する必要があります。
Web アプリ侵入テスターは、侵入テストを通じて組織の Web アプリをセキュリティで保護し、次の方法で Web アプリケーションのセキュリティ問題を理解する任務を負っています。
- 攻撃的なセキュリティテスト操作に関する専門知識を提供します
- 防御的なセキュリティメカニズムをテストします
- Webアプリの侵入テストツールによる攻撃ベクトルの絞り込み
- エクスプロイトの結果を技術者以外のユーザーに伝える
- 継続的な修復とサポートのために脆弱性に優先順位を付けます
Web アプリ侵入テスターは、Web 環境のセキュリティの脆弱性を発見し、組織に対する潜在的なリスクについて報告する必要があります。CompTIA PenTest+は、クラウド、ハイブリッド環境、Webアプリケーション、モノのインターネット(IoT)デバイス、組み込みシステム、および従来のオンプレミス環境に最も関連性の高い侵入テストスキルに直接対処するため、この種の役割に最適です。
試験領域のツールとコード分析では、受験者はスクリプトとソフトウェア開発の基本概念 (5.1) を説明し、ペネトレーション テスト (5.2) で使用するスクリプトまたはコード サンプルを分析できる必要があります。これには、ロジック構造とデータ構造の知識、自動化の機会の検討、エクスプロイト コードの分析が含まれます。自動化された攻撃に対抗するための最新の脆弱性管理には自動化が必要です。
さまざまなスクリプトやコードサンプルに触れることで、ペネトレーションテスターがキャリアを積むのに役立つツールボックスが拡張され、ペネトレーションテスターはキャリアが進むにつれてスクリプト作成にますます取り組むことができます。
Web アプリ侵入テスターは、検証済みの資格情報を持っている必要があります。Web アプリ侵入テスターの平均給与は年間 120,662 ドル (Cyberseek.org) です。
詳しくは、ウェブアプリのペネトレーションテスターになる方法をご覧ください。
CompTIA PenTest+ でキャリアアップ
ご覧のとおり、組織内で侵入テストを実施し、脆弱性管理を実行する機能に対処して、セキュリティ体制を強化することが不可欠です。これらの中級レベルのサイバーセキュリティの専門家は、機密データが悪者の手に渡るのを防ぐことに重点を置いています。
CompTIA PenTest+は、ITプロフェッショナルが、脆弱性スキャン、法的およびコンプライアンス要件の理解、結果の分析、修復手法を使用した書面によるレポートの作成など、ペネトレーションテストの取り組みを計画および範囲設定する資格があることを保証します。
出世したいですか? CompTIA PenTest+ の目標 を表示して、サイバーセキュリティのキャリアを前進させましょう。