はじめに
前回受験した CySA+ から間が空いてしまいましたが、2025年11月にCompTIA Pentest+(PT0-002)に一発合格できましたので、受験を検討されている方の参考になりますと幸いです!
注意
筆者が受験した Pentest+(PT0-002) は 2025年12月31日で配信終了となり、後継にあたる Pentest+(PT0-003)が配信済みとなりますので、受験を検討されている方はこの点についてご留意ください
筆者はどんな人?
- 情報系大学卒
- SIer勤務の社会人歴8年目
- 1~3年目: ネットワーク機器の保守・運用
- ProxyサーバやFW等のログ監視
- ファイアウォール・L3,L2スイッチの設定変更
- 3年目以降: セキュリティサービスに関する研究開発など
- OSINTツールの調査・検証
- PoCコードの実装, システムへの組み込み(主にPython)
- AWSによるインフラ構築・運用
- AWSのセキュリティ対策
- その他
- 社内向けのセキュリティ学習コンテンツ整備
- 上記学習コンテンツを活用した社内研修の講師
- 年に数回社内のコミュニティメンバとCTFにチャレンジ
- 1~3年目: ネットワーク機器の保守・運用
- 受験歴
- 2018年10月: 基本情報技術者試験 合格
- 2022年10月: 応用情報技術者試験 不合格
- 2023年04月: 応用情報技術者試験 不合格
- 2024年03月: 情報セキュリティマネジメント試験 合格
- 2024年10月: 情報処理安全確保支援士試験 合格
- 2025年03月: CompTIA Security+(SY0-701) 合格
- 2025年04月: CompTIA CySA+ (CS0-003)合格
- 2025年11月: CompTIA Pentest+ (PT0-002)合格🆕
試験概要と出題傾向
CompTIAとは?
CompTIA(コンプティア)はIT業界における中立的な非営利団体で、世界的に認知されているベンダーニュートラルなIT資格を提供しています。
CompTIA Pentest+とは?
CompTIA PenTest+ は、システムの脆弱性を特定、軽減、報告する能力を検証します。
クラウド、ウェブアプリ、API、IoTなどの攻撃対象領域にわたるペネトレーションテストのすべての段階をカバーし、脆弱性管理やラテラルムーブメントなどの実践的なスキルに重点を置いています。
この認定資格により、ペネトレーションテスターまたはセキュリティコンサルタントとしてのキャリアを向上させるための専門知識を身につけることができます。
対象となるスキルセット:
- 計画とスコーピング
- 偵察
- 脆弱性の発見
- 攻撃とエクスプロイト
- エクスプロイト後のアクティビティ
- ペネトレーションテストのすべての段階
PenTest+ 試験の難易度は、侵入テストまたは関連の役割で 3〜4年 の実践的な経験を持つ専門家向けに設計された中級レベルの認定です。
試験情報
- 試験コード:PT-002(※2025年11月時点では後継の PT-003 が最新バージョンになります)
- 試験時間:最大165分
- 問題数:最大85問
- 合格ライン:750点(スコア範囲:100〜900点)
-
試験形式:
- 多肢選択問題
- パフォーマンスベーステスト(シミュレーション形式の実務問題)
ドメイン(出題分野)の構成比率
※ CompTIA公式ウェブサイトが全面リニューアルされたことに伴い、PT0-002の情報を確認することができなくなってしまったため、PT-003の出題範囲を記載します
| 内容 | 詳細 | 割合(%) |
|---|---|---|
| エンゲージメント管理 | 計画とスコーピング 法的および倫理的遵守 コラボレーションとコミュニケーション ペネトレーション テスト レポート |
13% |
| 偵察と列挙 | アクティブおよびパッシブ偵察 列挙手法 偵察ツール スクリプトの変更 |
21% |
| 脆弱性の発見と分析 | 脆弱性スキャン 結果分析 検出ツール |
17% |
| 攻撃とエクスプロイト | ネットワーク攻撃 認証攻撃 ホストベースの攻撃 Web アプリケーション攻撃 クラウドベースの攻撃 AI攻撃 |
35% |
| 開発後とラテラルムーブメント | エクスプロイト後のアクティビティ ドキュメント |
14% |
学習方法
CompTIA Security+(SY0-701), CompTIA CySA+(CS0-003)に引き続きTACの教材を用いて約1か月をかけて学習しました。
スケジュール
- 2025-10-02: TAC e受付申し込み
- 2025-10-06: 会員証到着・学習開始
- 2025-11-07: 受験
使用した教材
Security+, CySA+の時と同様に、基本的にはTACのWeb模擬試験コースをベースに学習しました。
Web模擬試験の解説でも理解しきれなかった内容や、CompTIAが公開している出題範囲の内容を生成AIに解説してもらうことで補完しました。
(こちらの出題範囲ですが、前述したウェブサイトのリニューアルにより現在は確認することができなくなっています。。)
オンライン学習
-
TAC PenTest+(PT0-002)Web模擬試験コース
- 試験と近いかたちで学習できる
- 解説も充実しているため非常にオススメ
- 正解以外の選択肢も含めて模擬試験の内容を理解できるまで繰り返す・調べる
- 問題で問われるツールの用途や使い方を生成AIに解説してもらうのがオススメ
その他
-
CompTIA PenTest+ 認定資格試験出題範囲
- CompTIAが公開していた出題範囲(およびその内容を生成AIに解説してもらった学習メモ)
本番の試験体験と感想
今回は秋葉原のテストセンターで受験しました。予約時間の30分ほど前に到着し、前倒しで受け付けを済ませて予約時間よりかなり早く試験を開始しました。
出題数は最大85問に対して、実際には70問程度でした。
これまでの受験時と同様に、多少悩む問題については後から見返せるようにフラグを付けて解き進めました。
全ての問題を一通り回答した後にフラグを付けた問題(約10問)を解きなおし、試験開始から約50分くらいの時点で試験を終了しましたので、時間的にはかなり余裕がありました。
3年目以降の業務経験と試験内容に一部通ずるものがあり、CySA+よりも悩むことなく問くことができました。
(と言いつつ、CySA+の点数よりやや低い773点での合格となってしまいましたが。。笑)
これから受験される方へのアドバイス
これまでに受験したCompTIA資格と同様に、試験で扱われる用語やツールについて概要を把握するだけではなく、ペネトレーションテストにおいてどういう時に使う・どういう特徴があるのかまで理解しておく必要があると感じました。
私の場合、用途や特徴については生成AIに確認することで理解を深めることができました。
一例としてnmapを挙げると、オプションとその動作を覚えるだけではなく、そのオプションがどういう時に用いられるか(IPS等に検知されたくない場合、検知されたとしても高速に診断したい場合、など)まで理解しておく必要があります。
他資格との比較
私の実感での難易度比較
| 資格名 | 勉強期間 | 体感難易度 |
|---|---|---|
| 情報セキュリティマネジメント | 約1か月 | ★☆☆☆☆ |
| 情報処理安全確保支援士 | 約7か月 | ★★★★★ |
| CompTIA Security+ | 約1か月 | ★☆☆☆☆ |
| CompTIA CySA+ | 約1か月 | ★★★☆☆ |
| CompTIA Pentest+ | 約1か月 | ★★★☆☆ |
難易度を例えるなら
- 前提知識: Security+とCySA+合格済み推奨
- 勉強量: CySA+と同程度
- 実務経験: コーディングやペネトレーションテストなどの経験があると有利だと思われます(私の場合、Pythonによる開発の経験やCTFの参加経験等が少なからず活きたと思います)
- 難しかったポイント: 試験で問われるツール類の幅広い理解
おわりに
以上、今回はCompTIA Pentest+(PT0-002)の受験記でした!
TACの教材が販売され次第、SecurityX(CAS-005)にチャレンジし、また受験記を投稿できればと思います!