リスク管理Navi
サイバー/デジタルリスクNavi

サイバー/デジタルリスクNavi

コラム
掲載日:2017.03.21

CEH(Certified Ethical Hacker)(認定ホワイトハッカー)資格

サイバーセキュリティ 情報セキュリティ

情報セキュリティ関連の資格は国家資格である情報セキュリティスペシャリスト(※1) を始めとしCISSP、CCNA Security等数多く存在しますが、今回は中でも昨今需要が急激に高まってきているCEH(Certified Ethical Hacker:認定ホワイトハッカー)です。

「ハッカー」という言葉を聞くと、高度な知識やスキルを利用しコンピュータやシステム、あるいはネットワークに不正侵入して情報を搾取したり、システム自体を破壊して企業の業務や重要なインフラシステムなどを停止させる人、という悪いイメージ(※2)を持っている方が多いかもしれません。

しかしながら本来「ハッカー」という用語はコンピュータやネットワークの知識・技術に精通し、それを活かしてシステムやネットワーク等の問題や課題を解決する人、という意味を持っています。

CEHとは本来の意味でのハッカー(ホワイトハッカー)として、様々なツールや技術を駆使し、攻めの姿勢で悪意を持ったハッカーによるサイバー攻撃など、多様化する最新の情報セキュリティ脅威に太刀打ちできる人材、いわば企業におけるヒーローのような存在のことを指しているのです。

※1:2017年4月からは情報処理安全確保支援士制度に変更となる予定です
※2:悪意をもって企業や個人のコンピュータ内部へ侵入し、攻撃などを行うハッカーのことを「クラッカー」と区別して呼ぶこともあります。

目次

CEH資格の詳細と取得に必要な知識や技術

米国のEC-Council社が提供するCEH資格は、国際的に認められた世界で通用する資格であり、アメリカではポピュラーな情報セキュリティ資格の一つとなっています。しかしながらこの資格はIT知識や経験の全くない人が突然取得しようと思っても取得できるものではありません。

資格取得にあたってはEC-Council社が「(悪意のある)ハッカーに対抗するには、ハッカーのように考えることが必要だ」という考えに基づいて設計してトレーニングコースが準備されており、コースを受講することでCEH資格の受験資格を得ることができます。このトレーニングコースは2017年3月現在、バージョン9までリリースされており、下記の18のモジュールから構成され270もの攻撃テクニックを学ぶことができます。言い換えれば、下記表に記載されている言葉の意味を瞬時に理解できない人には、資格取得は難しいものとなっています。

 
【18モジュールの内容】
Introduction to
Ethical Hacking
Sniffing
SQL Injection
Footprinting and
Reconnaissance
Social
Engineering
Hacking Wireless
Networks
Scanning
Networks
Denial of
Service
Hacking Mobile
Platforms
Enumeration
Session
Hijacking
Evading IDS,
Firewalls, and Honeypot
System Hacking
Hacking
Web servers
Cloud
Computing
Malware Threats
Hacking Web
Applications
Hacking Wireless
Networks

なお、EC-Council社が提供するトレーニングを受講しない場合
  • 少なくとも2年以上の情報セキュリティ経験を有すること
  • 情報セキュリティに特化した教育を受けていること
などの条件を満たしていることが証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。

なぜ今CEH資格なのか

近年、日本における情報セキュリティ事故に関しては、日本年金機構、ベネッセ・コーポレーション、JTBなどの情報漏洩のニュースがまだ記憶に新しい方も多いかと思います。事故を起こしてしまった場合、規模によっては数十億~数百億の損失を出してしまうだけではなく、情報セキュリティに対して適切な対策・対応をとれていなかったことが判明すると、企業の信頼は失われ多くの顧客流出を招いてしまいます。そして時には訴訟問題にまで発展してしまうことすらあります。また顧客情報ではなく、企業の機密情報が流出してしまった場合には、それまで研究や開発に費やしてきた期間、費用、従業員の想いなどがすべて水の泡となってしまう可能性もあり、結果として企業の事業継続すら危ぶまれる事態に陥ることもあるのです。

来る「IoT/ビッグデータ/AI時代」、そして2020年東京オリンピック・パラリンピック競技大会に向け、企業に対してのサイバー攻撃はより一層増加することが予想されることから、各企業おける情報セキュリティ・サイバーセキュリティの確保は急務となっています。このようなことからも、複雑化・多様化するサイバー攻撃に対し、攻撃者の観点を持ちながら高い技術を持って企業を守ることのできるCHE資格を持つ人材の需要は今後急速に増えていくはずです。

最後に

情報セキュリティ・サイバーセキュリティ対策は、企業のブランド価値を高める指標の一つになりつつあることから、今後企業にとって一層重要なものになっていくことは間違いありません。また総務省が実践的サイバー防御演習を行うとともに、若手セキュリティエンジニアの人材育成等の取り組みを実施するため、国立研究開発法人情報通信研究機構(NICT)に「ナショナルサイバートレーニングセンター(仮称)」を設置する予定となっているなど、国としての取り組みも活発になってきています。

「CEH資格を持っている人材がいる企業=社会的信頼が高い企業」と位置付けられ、CEH資格保持者がいることが企業には欠かせないという日が来るかもしれません。

多くの経験・知識が求められることから一朝一夕で取得できる資格ではありませんが、企業をあげてCEH資格保持者を増やす取り組みをしてみるのはいかがでしょうか。

参考情報

EC-Council「Certified Ethical Hacker Program Brochure」
EC-Council 「CEH-Handbook-v2.0」
記事一覧

人気記事ランキング

AI規制をめぐる、世界各国と日本の動向 ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説 STRIDEモデル 継続的サービス改善 防衛産業サイバーセキュリティ基準(新基準)に準拠する際の勘所 FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度) SOC2とは?その必要性、準拠の進め方などを解説 ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~ サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (後編) ~CMMC2.0とは~ クルマにおけるサイバーセキュリティ規格 ISO/SAE21434とは ~規格の位置づけと重要性 ~

カテゴリ

用語集 ガイドライン コラム サイバー/デジタルリスク速報

キーワード(タグ)

サイバーセキュリティ IT-BCP デジタルリスク管理 IoT DX プライバシー保護 NIST 防衛産業 情報セキュリティ AI レジリエンス サプライチェーン 内部不正

用語集

あ-か さ-な は-ま や-わ A-Z

業種(タグ)

IT 金融 卸売 製造 運輸 エネルギー 建設 医療・福祉 サービス 官公庁
メルマガバナー

Related Articles おすすめの記事

情報処理安全確保支援士制度

Related Services 関連サービス

サイバーセキュリティ
脆弱性診断コンサルティングサービス
コンサルティング・サービス

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る
Contact
Contact
お問い合わせ
Document
Document
資料ダウンロード
お電話でのお問い合わせはこちらから

03-3239-9209