はじめに

はじめまして。
筆者は株式会社セキュアイノベーションで脆弱性診断士を務めており、普段は金融機関や大手製造業など多様な業界のクライアントに対し、Webアプリケーション診断を行っています。

本日はセキュリティ初心者の方に向けて、私のおすすめの資格取得の流れと、その知識が実務でどのように役立つか、をご紹介します。少しでも参考になればと思います。

【セキュリティ業界に飛び込む前の私のスペック紹介】
学歴：高卒
職歴：飲食 ⇒ 携帯販売 ⇒ 生保営業 ⇒ 営業代行 ⇒ 人材系の会社経営 ⇒ インフラエンジニア
取得済み資格：証券外務員2種、ITパスポート

ITとは無縁の世界から異世界転生を経てホワイトハッカーになりたい。と思い、インフラエンジニアになり、4年ほどインフラエンジニアをやっておりました。

セキュリティに関しては、資格勉強を始めるまでは独学で勉強しTryHackMeやWeb Security Academyで学びたいことを学ぶ。という感じでした。
体系的に学んだのは一番最初に取得した「CompTIA Security+」が初めてでした。

INDEX

資格取得のおすすめの流れ
 1. CompTIA Security+
　2. CompTIA PenTest+
 3. eJPT
資格で得た知識と実務での相互作用
 1. 資格学習で得られるもの
 2. 実務経験が資格学習に活きるもの
最後に

参考資料
採用ページのご案内

資格取得のおすすめの流れ

セキュリティの世界に飛び込むにあたり、まずは足元を固めるための資格取得が効果的です。以下の3つを順番に取得することで、基礎から実践までを段階的に学べます。

 1. CompTIA Security+

資格概要

出題ドメイン比率

- 1.0 攻撃、 脅威、 脆弱性 24%

- 2.0 アーキテクチャと設計 21%

- 3.0 実装 25%

- 4.0 運用とインシデントレスポンス 16%

- 5.0 ガバナンス、 リスク、 コンプライアンス 14%

おすすめの勉強法

1. TAC模擬試験
TACの講座を受講するのではなく、試験を受けるためのチケットであるバウチャーチケット付きの模擬試験を購入。

2. わからない単語をすべて潰す
模擬試験で出てきたわからない単語をすべて潰してください。私はNotionで単語帳を作成し、単語を見て3秒以内に意味が頭に浮かぶまで模擬試験と単語帳を反復しました。

3. パフォーマンスベーステスト
模擬試験と実際の試験は、問題は似ていますが出題の形式が変わります。なので、答えだけ覚えるのではなく、ちゃんと意味を理解し、どんな風に出題されても回答できるようにしておきましょう。

 2. CompTIA PenTest+

資格概要

出題ドメイン比率

- 1.0 計画とスコープ 14%

- 2.0 情報収集と脆弱性のスキャン 22%

- 3.0 攻撃とエクスプロイト 30%

- 4.0 報告とコミュニケーション 18%

- 5.0 ツールとコード分析 16%

おすすめの勉強法

1. TAC模擬試験・わからない単語をつぶす

    おすすめの勉強法は基本、Security+と同じになります。

2. パフォーマンスベーステスト

ただし、パフォーマンスベーステストだけ、よりシミュレーションっぽくなるので、注意が必要です。問われる問題は変わりませんが、実際の実機を触るような認識でいた方が試験時にテンパらなくて済むので、その勢いで挑みましょう。

3. eJPT

資格概要

eJPT（eLearnSecurity Junior Penetration Tester）はオンラインラボ中心の実践型資格です。試験は学習期間中に何度でもチャレンジでき、課題をクリアする形式のため、合格までの学習サイクルが短く、実務直結のスキルが身につきます。

学習範囲

- Assessment Methodologies (25%) - 評価方法論

- Host and Networking Auditing (25%) - ホストとネットワークの監査

- Host and Network Penetration Testing (35%) - ホストおよびネットワーク侵入テスト

- Web Application Penetration Testing (15%) - Webアプリケーションの侵入テスト

おすすめの勉強法

1. 短期決戦をしたい方

とにかく、ラボのスキルチェックのCTFをぶん回しましょう。その過程でわからない部分の講座を視聴する。というのが最も効率的です。そして、理解できない部分はChatGPTにイメージが湧くまでかみ砕いて説明してもらうのがおすすめです。「中学生でもわかるように説明して」というと言い回しがちょっとイラっと来る感じになりますが、すごくわかりやすくなるのでおすすめです。

2. じっくりやりたい方

じっくりやりたい方は講座を最初から最後までじっくり見ましょう。期間的には半年ほどですべて完了し、試験に挑めるレベルにはなるかと思われます。

3. 注意点

この講座はサブスク制のため、放っておくと3か月経過後に自動で課金され、9か月間サブスクが延長されます。追加で20,000円前後かかってしまうので、個人的には短期決戦をおすすめします。

資格で得た知識と実務での相互作用

セキュリティ資格の学習は実務に直結し、また実務経験が資格学習をより深める好循環を生みます。

A. 資格学習で得られるもの

攻撃の全体像の把握

Recon（情報収集）→Exploit（攻撃実行）→Post-Exploit（権限維持・横展開）の一連のフローを体系的に学習できます。

脆弱性の見立てスピード向上

攻撃者の思考を理解することで、実際の診断では「この箇所はリスクが高い」と即断できるようになります。また、通常リスクが高いとされる脆弱性も「この箇所ではリスクが低い」という逆の判断もできるようになります。

B. 実務経験が資格学習に活きるもの

最新技術のキャッチアップ

実務では gRPC、SignalR、GraphQL、Serverless API など資格範囲外の技術も頻出します。私の働いている会社では社内ナレッジ共有やオンラインカンファレンスの情報が豊富なので、そこでの情報収集がスキルアップにも繋がっています。

脆弱性レポート作成の深度

実際に対応した脆弱性（たとえばSQLインジェクションの多段攻撃手法や、OAuth設定ミスによる認可バイパス）を資格勉強で学んだ理論と結び付けることで、説得力ある報告書を執筆できます。また、報告会などで、お客様に質問されたときにも自信を持って回答ができるようになります。

最後に

まずはCompTIA Security+の取得からスタートし、その後PenTest+、eJPTへとステップアップするのをおすすめします。

私の次の目標はOSCP合格なので、合否に関わらず、試験終了後にまたブログを執筆しようと思います。落ちていたらなぐさめてくだｓ・・・・。

そして、この資格取得の流れを教えてくれた上司。講座の受講料や試験費用を負担していただいた会社にはすごく感謝をしております。お陰様で最難関の妻の稟議がすぐに通り、3か月で3つの資格を取得することができました。ありがとうございます。

最後まで読んでくださりありがとうございました。

一緒にホワイトハッカーを目指しましょう！

参考資料

CompTIA PenTest+
https://www.comptia.jp/certif/cybersecurity/comptia_pentest/

CompTIA Security+
https://www.comptia.jp/certif/core/comptia_security_501/

eJPT
https://ine.com/security/certifications/ejpt-certification

TACCompTIA模擬試験
https://www.tac-school.co.jp/kouza_it/comptia_web_mogi.html

Notion
https://biz-notion.northsand.co.jp/

TryHackMe
http://TryHackMe

Web Security Academy
https://portswigger.net/web-security

資格が役立つ業種にて採用募集中！

2025年10月現在、セキュアイノベーションでは以下のページで採用募集中です。
公式サイトから応募すると入社祝い金をプレゼント！　※未経験歓迎！公式サイトからご応募ください。

https://www.secure-iv.co.jp/recruit