脆弱性診断に必要な専門性を満たす資格とは ～ 経産省「情報セキュリティサービス基準」改訂

　経済産業省は3月30日、「情報セキュリティサービス基準」の第3版を公表した。情報セキュリティサービスの利用者が当該サービスを安心して利用ができ、調達時に参照できる仕組みの提供を目的としたもので、今回は改訂するとともに「機器検証サービス」を追加している。

　機器検証サービスは、IoTシステムに対して行う機器検証、Webアプリケーション脆弱性診断、プラットフォーム脆弱性診断のサービスを指す。機器検証サービスの登録申請の募集は、2023年度第3回（9月目処）から開始する予定。また、機器検証サービスの追加に伴い、「情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示」も第2版を公表した。

　同サービス基準では、情報セキュリティ監査サービス、脆弱性診断サービス、デジタルフォレンジックサービス、セキュリティ監視・運用サービス、そして機器検証サービスの5つのサービスに対し、技術要件と品質管理要件を定めている。

　脆弱性診断サービスの技術要件では、サービスの提供に必要な専門性を満たすとみなすことができる専門性を有する資格として、次の資格を挙げている。

汎用資格
・情報処理安全確保支援士
・CISSP（Certified Information Systems Security Professional）
・CISA（Certified Information System Auditor）
・CISM（Certified Information Security Manager）
・GIAC（Global Information Assurance Certification）
専門資格
・CEH（Certified Ethical Hacker）
・OSCP（Offensive Security Certified Professional）

　講師またはリーダーの経験をもって、脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる専門家コミュニティは次の通り。

・特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
・日本セキュリティオペレーション事業者協議会（ISOG-J）
・OWASP（The Open Web Application Security Project）