CompTIA PenTest+ 認定試験 (PT0-002): ドメインの概要 CompTIA サイバーセキュリティ パスウェイにおいて、PenTest+ は高度なペネトレーションテスト認定資格の一つです。
PenTest+ 試験コースは、ペネトレーションテストに必要なプロセス、ツール、およびテクニックに関する受験者の知識をテストするように設計されています。
CompTIA は、ペネトレーション、脆弱性評価、およびコード分析の実務経験を 3~4 年持つ受験者を推奨しています。
CompTIA PenTest+ は、ペネトレーションテスト、脆弱性評価、および管理を担当するサイバーセキュリティ専門家向けに設計されたエントリーレベルのペネトレーションテスト認定資格です。
CompTIA PenTest+ は、侵入テストと脆弱性評価を通じた攻撃スキルに重点を置いた、優れたサイバーセキュリティ侵入テスト認定資格の 1 つです。
CompTIA PenTest+ 認定サイバーセキュリティプロフェッショナルは、以下の知識とスキルを身に付けています。
ペネトレーションテストの実施を計画し、その範囲を定める
法的要件とコンプライアンス要件を理解する
適切なツールと手法を用いて脆弱性スキャンとペネトレーションテストを実施し、結果を分析する
改善策の提案を含む報告書を作成し、経営陣に結果を効果的に伝達し、実践的な推奨事項を提示する
問題数 - 最大85問
問題形式 - 多肢選択式および実技試験
試験時間 - 165分
推奨経験 - ペネトレーションテスト、脆弱性評価、コード分析の実務経験3~4年
合格点 - 750点(100~900点満点)
PenTest+ 試験は試験時間は165分です。制限時間内に、最大85問の多肢選択式および実技試験に解答する必要があります。
合格点は750点(100~900点満点)です。
CompTIA PenTest+ サイバーセキュリティ認定コースは、以下の5つのドメイン(トピック)に分かれています。
1.0 計画とスコープ設定 - 14% 2.0 情報収集と脆弱性スキャン - 22% 3.0 攻撃とエクスプロイト - 30% 4.0 報告とコミュニケーション - 18% 5.0 ツールとコード分析 - 16%
PenTest+ 試験の最初のドメインは、ペネトレーションテストの計画とスコープ設定です。試験の総合点について言えば、「計画とスコープ設定」のドメイン自体が受験者のスコアの14%を占めます。 さらに、ドメイン1は以下の3つのセクションに分かれています。 1.1 ガバナンス、リスク、コンプライアンスの概念を比較対照する。
• 規制遵守に関する考慮事項 • 所在地の制限 • 法的概念 • 攻撃許可
1.2 スコープ設定と組織/顧客要件の重要性を説明する。
• 標準と方法論 • エンゲージメントルール • 環境に関する考慮事項 • ターゲットリスト/対象資産 • エンゲージメント範囲の検証
1.3 与えられたシナリオにおいて、プロフェッショナリズムと誠実さを維持することで、倫理的なハッキングの考え方を示す。
• ペネトレーションテストチームの経歴調査 • 特定のエンゲージメント範囲の遵守 • 犯罪行為の特定 • 侵害/犯罪行為の即時報告 • ツールの使用を特定のエンゲージメントに限定する • スコープに基づいて侵入性を制限する • データ/情報の機密性を維持する • 専門家にとってのリスク
偵察は侵入テストプロセスに大きな価値をもたらし、セキュリティ上の弱点を評価し、攻撃計画を策定するための貴重な情報を提供します。 PenTest+認定試験は、情報収集と脆弱性スキャンが問題の22%を占め、大きく以下の3つのパートに分かれています。
2.1 与えられたシナリオに基づき、受動的な偵察を行う。
• DNSルックアップ • 技術担当者の連絡先を特定する • 管理者の連絡先 • クラウドとセルフホストの比較 • ソーシャルメディアのスクレイピング • 暗号の欠陥 • 企業の評判/セキュリティ体制 • データ • オープンソース・インテリジェンス(OSINT)
2.2 与えられたシナリオに基づき、能動的な偵察を行う。
• 列挙 • ウェブサイトの偵察 • パケットクラフティング • 防御の検出 • ウォードライビング • ネットワークトラフィック • トークン • クラウド資産の検出 • サードパーティのホストサービス • 検出の回避
2.3 与えられたシナリオに基づき、偵察演習の結果を分析する。
• フィンガープリンティング • 出力を分析する
2.4 与えられたシナリオに基づき、脆弱性の調査を行う。スキャン
• 脆弱性スキャンの考慮事項 • Nmap • 特定されたターゲットの脆弱性をスキャンする • 検出を回避するためのスキャン設定 • スキャン方法 • 自動化を促進する脆弱性テストツール
ドメイン3である攻撃とエクスプロイトは、PenTest+認定試験において最も重要な要素であり、試験問題の30%を占めています。このドメインに含まれるトピックは多岐にわたり、侵入専門家が侵入の過程で遭遇する可能性のあるあらゆるシステムに対する潜在的な攻撃を網羅しています。攻撃とエクスプロイトのドメインは、以下の7つのセクションに分かれています。
3.1 与えられたシナリオに基づき、攻撃ベクトルを調査し、ネットワーク攻撃を実行する。
• 可用性のストレステスト • リソースのエクスプロイト • 攻撃 • ツール
3.2 与えられたシナリオに基づき、攻撃ベクトルを調査し、無線攻撃を実行する。
• 攻撃手法 • ツール • 攻撃
3.3 与えられたシナリオに基づき、攻撃ベクトルを調査し、アプリケーションベースの攻撃を実行する。
• OWASP Top 10 • サーバーサイドリクエストフォージェリ • ビジネスロジックの欠陥 • インジェクション攻撃 • アプリケーションの脆弱性 • アプリケーションの脆弱性 • ディレクトリトラバーサル • ツール • リソース
3.4 与えられたシナリオに基づき、攻撃ベクトルを調査し、クラウドテクノロジーに対する攻撃を実行する。
• 攻撃 • ツール
3.5 特殊なシステムに対する一般的な攻撃と脆弱性を説明する。
• モバイル • モノのインターネット (IoT) デバイス • データストレージシステムの脆弱性 • 管理インターフェースの脆弱性 • 監視制御・データ収集(SCADA)/産業用IoT(IIoT)/産業用制御システム(ICS)に関連する脆弱性 • 仮想環境に関連する脆弱性 • コンテナ化されたワークロードに関連する脆弱性
3.6 与えられたシナリオに基づき、ソーシャルエンジニアリングまたは物理攻撃を実行する。
• 攻撃手法の口実 • ソーシャルエンジニアリング攻撃 • 物理攻撃 • なりすまし • ツール • 影響力行使の方法
3.7 与えられたシナリオに基づき、エクスプロイト後の攻撃手法を実行する。
• エクスプロイト後のツール • ラテラルムーブメント • ネットワークセグメンテーションテスト • 権限昇格 • 足場/永続性の構築 • 制限シェルのアップグレード • 検出回避 • 列挙
報告とコミュニケーションは、ペネトレーションテストの重要な要素の一つです。プロセス。PenTest+認定試験のドメイン4であるレポートとコミュニケーションは、PenTest+スコアの18%を占めます。このセクションは4つのセクションに分かれています。
4.1 報告書の重要な要素を比較対照する。
• 報告書の対象読者 • 報告書の内容(** 順不同) • 報告書の保管期間 • 安全な配布 • メモの取り方 • 共通のテーマ/根本原因
4.2 与えられたシナリオにおいて、発見事項を分析し、報告書内で適切な改善策を提案する。
• 技術的管理策 • 管理的管理策 • 運用的管理策 • 物理的管理策
4.3 ペネトレーションテストプロセスにおけるコミュニケーションの重要性を説明する。
• コミュニケーション経路 • コミュニケーションのきっかけ • コミュニケーションの理由 • 目標の優先順位変更 • 発見事項の提示
4.4 レポート提出後の活動を説明する。
• 契約後のクリーンアップ • 顧客の承認 • 得られた教訓 • フォローアップ活動/再テスト • 発見事項の証明 • データ破棄プロセス
ペネトレーションテストの実行脆弱性を特定し、ツールを開発するには、コードの読み書きのスキルを習得する必要があります。PenTest+認定試験のドメイン5であるツールとコード分析は、試験問題の16%を占めています。このドメインは、以下の3つのセクションに分かれています。
5.1 スクリプトとソフトウェア開発の基本概念を説明する。
• ロジック構造 • データ構造 • ライブラリ • クラス • プロシージャ • 関数
5.2 与えられたシナリオに基づいて、侵入テストで使用するスクリプトまたはコードサンプルを分析する。
• シェル • プログラミング言語 • エクスプロイトコードを分析して、 • 自動化の可能性
5.3 侵入テストの各フェーズにおける以下のツールのユースケースを説明する。
• スキャナー • 認証情報テストツール • OSINT • デバッガー • ワイヤレス • Webアプリケーションツール • ソーシャルエンジニアリングツール • リモートアクセスツール • ネットワークツール • その他 • ステガノグラフィツール • クラウドツール
CompTIA PenTest+ 認定試験センターとして、世界中の情報技術プロフェッショナルに多数の IT 認定試験を提供しています。
CompTIA PenTest+ 認定試験の受験をご希望でしたら、お気軽にお問い合わせください。
CompTIA PenTest+ 認定試験の受験方法や試験内容について詳しくは、お問い合わせください。担当コンサルタントが、お客様に最適なサポートを提供いたします。
著作権 © 2024 - 無断転載を禁じます。
