Skip to main content

V3

PenTest+

CompTIA PenTest+ は、システムの脆弱性を特定、軽減、報告する能力を検証します。クラウド、ウェブアプリ、API、IoTなどの攻撃対象領域にわたるペネトレーションテストのすべての段階をカバーし、脆弱性管理やラテラルムーブメントなどの実践的なスキルに重点を置いています。この認定資格により、ペネトレーション テスターまたはセキュリティ コンサルタントとしてのキャリアを向上させるための専門知識を身につけることができます。提供終了予定のバージョンであるV2(PT0-002)日本語試験は、2025年9月18日にて配信終了をいたしました。すでにV2の取得に向けて学習を進めている方は、2025年12月31日まで受験することが可能です。受験を希望の際には、サイト下部のヘルプからヘルプチケットをご送信ください。

Plus PenTest+ Certification

PenTest+ (V3) 認定資格試験出題範囲の概要

エンゲージメント管理 (13%) 

  • 計画とスコーピング: エンゲージメントのルール、テストウィンドウ、およびターゲットの選択の定義。
  • 法的および倫理的遵守: 承認書、報告の義務化、規制の遵守を保証します。
  • コラボレーションとコミュニケーション: ピアレビュー、エスカレーション パス、リスクの明確化を通じて利害関係者と連携します。
  • ペネトレーション テスト レポート: エグゼクティブ サマリー、調査結果、修復の推奨事項を含むレポートを作成します。

キャリアアップ - PenTest+認定試験/トレーニングはこちらから購入いただけます。

察と列挙 (21%) 

  • アクティブおよびパッシブ偵察: オープンソースインテリジェンス (OSINT)、ネットワークスニッフィング、プロトコルスキャンを使用して情報を収集します。
  • 列挙手法: DNS 列挙、サービス検出、およびディレクトリ列挙の実行。
  • 察ツール: 情報収集に Nmap、Wireshark、Shodan などのツールを使用します。
  • スクリプトの変更: 偵察と列挙のために Python、PowerShell、Bash スクリプトをカスタマイズします。

脆弱性の発見と分析(17%) 

  • 脆弱性スキャン: 認証済み、非認証、静的アプリケーションセキュリティテスト (SAST) および動的アプリケーションセキュリティテスト (DAST) を実施します。
  • 結果分析: 検出結果の検証、構成のトラブルシューティング、誤検知の特定。
  • 検出ツール: 脆弱性検出に Nessus、Nikto、OpenVAS などのツールを使用します。

攻撃とエクスプロイト (35%) 

  • ネットワーク攻撃: VLAN ホッピング、オンパス攻撃、およびサービスの悪用を実行します。
  • 認証攻撃: ブルートフォース攻撃、ハッシュの受け渡し、クレデンシャルスタッフィングの実行。
  • ホストベースの攻撃: 権限昇格、プロセスインジェクション、および資格情報ダンプを実行します。
  • Web アプリケーション攻撃: SQL インジェクション、クロスサイト スクリプティング (XSS)、ディレクトリ トラバーサルの実行。
  • クラウドベースの攻撃: コンテナエスケープ、メタデータサービス攻撃、IDおよびアクセス管理(IAM)の設定ミスを悪用します。
  • AI攻撃: 人工知能システムに対するプロンプトインジェクションとモデル操作について説明します。


試験に備えましょう — トレーニングはこちらから購入いただけます。

開発後とラテラルムーブメント(14%) 

  • エクスプロイト後のアクティビティ: 永続性の確立、ラテラル ムーブメントの実行、アーティファクトのクリーンアップ。
  • ドキュメント: 攻撃の説明を作成し、修復の推奨事項を提供します。
 

試験の詳細

  • 試験バージョン: V3

  • 試験番号: PT0-003

  • 配信開始:2024年12月17日(英語試験)/2025年8月20日(日本語試験)

  • 設問数:多肢選択式とパフォーマンスベースの質問を含む最大90問

  • 制限時間:165分

  • 合格点: 750 (100–900 のスケール)

  • 推奨経験:ペネトレーションテスターの職務に3〜4年、Network+およびSecurity+または同等の知識

  • 対応言語:英語、フランス語、日本語、ポルトガル語

  • 前試験の配信終了: 2025 年 6 月 17 日

  • 配信終了: 通常、配信開始より3年後(2027年を予定)

習得できるスキル

  • 法的および倫理的要件への準拠を確保しながら、侵入テストを計画して範囲を定め、エンゲージメント管理をサポートするための修復の推奨事項を含む詳細なレポートを作成します。

  • アクティブおよびパッシブの偵察を実行し、情報を収集し、システムを列挙して、脆弱性を効果的に発見します。

  • 脆弱性スキャンを実施し、結果を分析し、調査結果を検証して、セキュリティの弱点を特定して対処します。

  • 適切なツールと手法を使用して、ネットワーク、ホストベース、Webアプリケーション、およびクラウドベースの攻撃を実行し、システム防御をテストします。

  • 永続性を維持し、ラテラルムーブメントを実行し、検出結果を文書化して、エクスプロイト後のアクティビティ中の修復作業をサポートします。

最新情報を入手

自信を持って前進

学習の旅とキャリアの成長をサポートするための最新情報、洞察、限定オファーを入手してください。