はじめに
CPENTとはCertified Penetration Testeing Professionalの略です。
CPENTの講座が日本語で受講できるようになったので、記事として残したいと思います。
CPENTの講座が日本語でも受講できるようになったことについては以下の記事で紹介されています。ご参考まで。
Who am i ?
しがないエンジニアです。セキュリティの資格はCISSPやCEH MASTER、CHFI、CNDなどを取得しています。
この記事の想定読者
- CPENTの講座受講を検討している人
- CPENTについて知りたい人
- CPENTとCEHの違いについて興味がある人
- その他
どうして記事を書こうと思ったのか?
これと言った理由はないのですが、メモとして残しておくと自分のモチベーション向上につながると思ったからです。
CEHとCPENTの違いについて
私がCPENTについて調査するにあたり、CEHとCPENTの違いについて気になったので、まとめておきます。
CPENT試験に関連するEC-Council公式ページを記載しておきます。
CPENTはペネトレーションテストの資格として知られているようです。OffSecのOSCPも有名ですが、CPENTも浸透してきているようです。ここではOSCPについての説明は省略します。なお、CPENTはEC-Councilの資格なので、「CPENTとCEHはどういった立ち位置のものか」理解しておく必要があると思います。なぜなら、どういった立ち位置の資格かを知ることで、どういった考えをもって試験に臨めばよいかわかるからです。
以下でCPENTとCEHの違いについて、わりと詳しく触れられています。
結論から書きますと、CEHはハッカーの使うツールや考え方について学ぶといった目的があり、これをCEHのテストと実技試験で聞かれているというのがポイントのようです。ハッカーの考え方を学ぶことが目的だとするとCEHの方を受講することが適切と動画では述べられています。
CEHとCPENTの最大の違いについてですが、CEHはペネトレーションテストの認定ではなく、ペネトレーションテストの様々な側面を学び、それをハッキング対策に活かせるようにするためのものだということです。そのため、CEHはペネトレーションテストの業界では、入門用のサイバーセキュリティ認定として知られているようです。私もCEH取得のための勉強をしましたが、確かにペネトレーションテストをどういうふうに実施するかは(うろ覚えですが)教材に載ってないように思えましたからね。。
一方で、CPENTについてはペネトレーションテストのやり方と考え方について学び、これを実践しレポートにまとめて報告することが求められます。ペネトレーションテストについて詳しく勉強したいという意味ではCPENTの取得が推奨されているようです。
参考サイトを掲載しておきます。
本題(研修+試験について)
GSX社のページから詳細を確認できます。
(追記)Armor Tech Labという会社からCPENT講座が提供されるようになったようです。円安の影響なのか70万円近くまで上がりましたね。
CPENT試験について公開されている範囲で記載します。
CPENT試験についてですが、CPENT試験に合格すると、CPENT以外にLPT MASTERという資格をとれることがこの試験の特長として知られています。試験に70%以上のスコアで合格するとCPENT、90%以上のスコアで合格するとCPENTに加えてLPT MASTERという資格を取得することができるとのことです。
CPENT試験の試験時間は24h or 12h×2のどちらかで受験できるようです。
ずっと監視されているの?って感じですよね。CEH Practicalの試験と同様にRPSと呼ばれるサービスを使って監視されながらの試験となります。OSCPの試験時間が48hですから、それよりも短いといっても、難易度的には同等かと思います。個人的な観点ですが、OSCPも回答時間は24hですし難易度的にもそれ程変わらないかと。
参考までに、CPENT試験のBlueprintから試験範囲の内容を抜粋してみました。
Penetration Testing Methodologies, Scoping and Engagement: 5%
Information Gathering: 7%
Network Penetration Testing: 45%
Web Application Penetration Testing: 16%
Wireless and IoT Penetration Testing: 4%
Industrial Controls and Cloud Penetration Testing: 7%
Binary Analysis and Exploitation: 11%
Reporting and Post Testing Actions: 5%
Network Penetration TestingとWeb Application Penetration Testingがボリュームを多く占めるようですね。ポートスキャン周りとXSSやSQLi周りでしょうか?
あとはBinary Analysis and Exploitationでしょうか。こちらはエクスプロイトコードを書かせたりするのでしょうかね、、他はクラウドや情報収集(OSINT?)などありますが正直よくわかりません。
Blueprintですが、現在のCPENTはv1となるため、上記はCPENTv1の情報となります。
まだversion1なのは、CPENTが新しく作られた資格だからだそうです。
※CPENT=「前身のECSA(EC-Council Certified Security Analyst)とAPT(Advanced Penetration Tester)」+「CEHの考え・ノウハウ」
資格維持の方法について
Certified Network Defenderについて記事としてまとめたときに、資格維持の方法についても記載しているので、詳細はこちらを参照ください。下の記事にも記載してますが年会費はCPENTの場合は250USDとなります。80USDと記載してある記事がかなり多いような気がします。
最後に
CPENT資格については、これから日本で広がっていくところだと思いますので、試験に挑戦したらまた記事としてまとめたいと思います。Ethical HackingとPenetration Testの違いは私もあまり知らなかったので、勉強になりました。(私の中ではPenetration TestはEthical Hackingの部分集合の一部というイメージです。)