チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「脆弱性診断士って、もしかして国家資格なのかな…?」
「未経験からでも目指せて、ちゃんと食べていける仕事なの…?」
セキュリティのキャリアを考え始めると、こういう疑問が次々と湧いてきますよね。
先に答えを言うと、脆弱性診断士は国家資格ではなく、Webアプリやネットワークの弱点を洗い出す専門職の呼び名です。
正社員の平均年収は500万円台、フリーランスなら月80万円以上の案件も珍しくありません。
このメディアは、セキュリティ人材のフリーランス(案件参画)を支援しているスプラッシュエンジニアリングが運営しています。
この記事でわかることは、以下のとおりです。
読み終える頃には、脆弱性診断士という選択肢が自分に合うのか、次の一歩まで見通せるようになります。
チップスボス、オイラ「脆弱性診断士」って肩書きカッコよくて気になってるんでしゅ。でも国家資格じゃないと意味ないって本当でしゅか?
ボス早とちりするな、チップス。資格の有無より、診れる人間が足りていない事実のほうが重要だ。この記事で全部ほどいてやる。
※記事の内容をサクッと確認したい方は、以下のスライドでご確認いただけます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
脆弱性診断士とは、システムに潜む弱点を洗い出すセキュリティの専門職です。
まずは読み方と職種像をはっきりさせておきます。
脆弱性診断士は「ぜいじゃくせいしんだんし」と読みます。
ひと言で言えば、攻撃者に悪用される前にシステムの穴を見つけ、改善につなげる仕事です。
業務は大きく次の流れで進みます。
特に価値が出るのは、最後の報告と改善提案の部分です。
検出された脆弱性をただ並べるのではなく、開発者が直せる粒度まで噛み砕いて伝える力が問われます。
OWASP(Webアプリの安全性を扱う国際的なコミュニティ)が示す観点を踏まえて再現手順まで添えると、開発側の手戻りが減ります。
穴を見つけるだけでなく、直すところまで伴走する。
ここがこの職種の本質だと思っています。
「脆弱性診断とペネトレーションテストは同じでは?」と混同されがちですが、目的が違います。
診断は穴を網羅的に洗い出す健康診断、ペネトレは攻撃者視点で本当に侵入できるか試す実地検証です。
主な違いを整理すると、以下のようになります。
| 項目 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | 弱点を網羅的に洗い出す | 攻撃者視点で侵入可否を検証 |
| 手法 | ツール+手動で対象を広く確認 | 想定シナリオで深く侵入を試行 |
| 成果物 | 脆弱性の一覧と改善提案 | 侵入経路と被害想定の報告 |
セキュリティエンジニアは、これらを含むもっと広い職種の総称です。
SOC(セキュリティ監視チーム)での監視やインシデント対応も担うので、脆弱性診断士はその専門領域のひとつ、という位置づけになります。
診断で見つけた弱点が、監視や対応の現場でどう悪用されうるかまで意識できると、診断の精度も上がります。
チップスじゃあ診断士は「健康診断のお医者さん」で、ペネトレの人は「実際に殴りかかってくる人」でしゅか…?
ボス乱暴だが、近い。穴を洗い出すのが診断、その穴で本当に入れるか試すのがペネトレだ。役割の境目を押さえておけ。
脆弱性診断の仕事は、Webアプリとネットワークの2系統に大きく分かれます。
認定資格もこの2区分に対応しています。
Webアプリケーション脆弱性診断は、Webサイトやアプリに潜む弱点を見つける業務です。
代表的な検出対象は、SQLインジェクションやXSS(クロスサイトスクリプティング)などです。
具体的な作業は、次のような内容が中心になります。
ツールだけで完結しないのが、Web診断の難しいところです。
ログイン後の権限チェックや、購入処理のようなビジネスロジックの欠陥は、画面の流れを理解した人の目でなければ見抜けません。
このスキルを体系的に証明する資格が、SecuriST認定Webアプリケーション脆弱性診断士です。
手を動かして穴を見つける感覚は、やられアプリ(学習用の脆弱なアプリ)での演習を重ねるほど磨かれていきます。
ネットワーク・プラットフォーム脆弱性診断は、サーバーやネットワーク機器の弱点を洗い出す業務です。
OSやミドルウェアの設定不備、放置された既知の脆弱性が主な対象になります。
業務の流れを整理すると、以下のとおりです。
ここで効いてくるのが、OSやプロトコルへの理解です。
スキャン結果に並ぶ項目を鵜呑みにせず、実環境で本当に悪用できるかを判断するには、通信やサーバー運用の知識が欠かせません。
この領域に対応する資格が、SecuriST認定ネットワーク脆弱性診断士です。
こうした脆弱性管理やセキュリティ運用を含む案件は、脆弱性管理・SOC運用を含むセキュリティ運用のフリーランス案件のように実務でも一定の需要があります。
「ツールがあるなら、人はいらないのでは?」という疑問は自然です。
でも、ツール診断と手動診断は役割が違っていて、両輪で初めて精度が出ます。
それぞれの得意分野は、次のように分かれます。
ツールは「広く浅く」、人は「狭く深く」と覚えるとわかりやすいです。
たとえば、本来は他人が見られない情報に権限の隙間からアクセスできてしまう不備は、仕様を理解した人でなければ判断できません。
AIや自動化が進んでも、事業背景を踏まえて深掘りする手動診断と、結果を伝える報告は残ります。
だからこそ、事業背景まで読み解ける診断士は、自動化が進んでも仕事を失いにくいと私は考えています。
チップス全部ツールにお任せすれば、オイラでも診断できそうでしゅけど…?
ボス甘いな。ツールが吐く結果のどれが本物かを見極めるのが人間の仕事だ。そこを誤検知ごと客に渡す診断士は、信用されん。
脆弱性診断士には、攻撃を理解する技術力と、結果を伝える説明力の両方が求められます。
ここでは技術スキルと報告力の両面を見ていきます。
技術スキルの土台になるのは、「攻撃される仕組みを説明できる」レベルの理解です。
弱点を見つけるには、まず正常な動作を知っている必要があります。
最低限おさえたい技術領域は、以下のとおりです。
未経験の方は、この中で穴の多い分野から埋めていくのが近道です。
たとえば情報システム部での運用経験があるなら、OSやネットワークの素地は活かせます。
逆に開発経験者なら、Webアプリの挙動やコード読解で先行できます。
ISOG-J(日本セキュリティオペレーション事業者協議会)とOWASP Japanが整備する脆弱性診断士スキルマップは、必要な技術項目を体系化していて、学習の見取り図として役立ちます(ISOG-J 脆弱性診断士スキルマップ)。
技術と同じくらい単価に直結するのが、報告とコミュニケーションの力です。
診断は、相手が動いて初めて価値が生まれます。
報告で求められる要素は、次のとおりです。
同じ脆弱性でも、「危険です」だけで終わる報告と、影響範囲と対処順序まで示す報告では、受け取る側の動きがまるで変わります。
誤検知を精査せずに大量の指摘を渡せば、現場は疲弊し、本当に直すべき穴が埋もれます。
だからこそ、リスクを翻訳して伝える力が評価されます。
チップス結局、英語のエラーをいっぱい並べれば「仕事した感」が出るんじゃないでしゅか?
ボスそれは最悪のパターンだ。診る力と同じく、伝える力が単価を決める。直せる形で渡せない診断士に、次の依頼は来ないと思え。
脆弱性診断士に必須の資格はありませんが、スキルを証明する選択肢はあります。
ここでは中立的なデータで判断材料を整理します。
国内で最も検索される民間認定が、GSX(グローバルセキュリティエキスパート社)が提供するSecuriST認定脆弱性診断士です。
試験はCBT(コンピュータ上で受験する方式)で実施されます。
概要を整理すると、以下のとおりです。
試験のみの受験料は29,700円(税込、2025年時点)で、選択式30問を60分で解く構成です。
学習期間は人それぞれですが、公式の2日間トレーニング講座を軸に要点を固める方法もあります。
レベル感としては、診断に携わる人が共通して持っておくべき基礎技能を証明する位置づけです。
未経験からの登竜門として現実的で、実務に直結する出題範囲が特徴です(GSX SecuriST 認定脆弱性診断士、CBT-Solutions 受験者ポータル)。
いちばん多い誤解が、「脆弱性診断士=国家資格」というものです。
正しくは、脆弱性診断士は職種の呼称であり、SecuriSTは民間認定です。
セキュリティ分野の国家資格は、IPA(情報処理推進機構)が管轄する情報処理安全確保支援士(登録セキスペ)です。
両者の違いは、次のように整理できます。
この2つは競合ではなく、補完関係にあります。
支援士で体系的な知識を、SecuriSTで実技寄りのスキルを証明する、という組み合わせが現実的です(IPA 情報処理安全確保支援士(登録セキスペ))。
上を目指すなら、海外資格も選択肢に入ります。
実技志向か知識志向かで、選ぶべき資格が変わります。
代表的な資格の位置づけは、以下のとおりです。
| 資格 | 取得難度 | 実務評価 | 費用感 |
|---|---|---|---|
| SecuriST | 入門〜中級 | 国内の診断業務で通用 | 中 |
| CEH | 中級 | 知識証明として広く認知 | やや高 |
| OSCP | 高(実技試験) | 攻撃技術の実力証明として高評価 | 高 |
OSCPは実際に侵入を成功させる実技試験で、ペネトレ志向の層から高く評価されます。
一方CEHやGIAC系は、攻撃知識を体系的に証明する位置づけです。
まずSecuriSTで基礎を固め、案件で実績を積んでからOSCPへ、というルートが堅実です。
チップスいきなり一番強そうなOSCPを取れば、オイラも最強でしゅか…?
ボス順番を間違えるな。基礎なしに実技試験へ突っ込んでも玉砕するだけだ。土台を固めてから上を狙え。
ここからは最大の関心事、「食べていけるのか」に公開統計で答えます。
正社員とフリーランス、それぞれの相場を見ていきましょう。
正社員のセキュリティエンジニアの年収は、公開統計でおおむね500万円台が目安です。
脆弱性診断士もこの職種群に含まれます。
公開データで示される傾向は、次のとおりです。
レバテックの統計では、セキュリティエンジニアの平均年収は511万円、中央値は550万円とされています(2025年1月時点)。
経験年数に比例して報酬が伸びやすい傾向は、データからも読み取れます。
ただし正社員の年収は、あくまで働き方を比較するための材料として参照してください(レバテックキャリア セキュリティエンジニアの平均年収)。
セキュリティのフリーランスとして案件に参画したい方は、セキュリティプロ・フリーランスで公開中の案件と単価をご確認いただけます。
フリーランスになると、報酬水準は正社員から大きく変わります。
脆弱性診断のスキルは、業務委託市場で高く評価されやすい領域です。
公開されている案件相場の傾向は、以下のとおりです。
レバテックフリーランスの公開情報では、脆弱性診断の案件で月額80万〜100万円規模が見られます。
同社が算出するセキュリティエンジニアのフリーランス想定年収は、約882万円とされています(レバテックフリーランス 脆弱性診断の案件、セキュリティエンジニアの年収)。
チップスえ、会社員よりだいぶ高いでしゅ…!なんでこんなに違うんでしゅか?
ボス診れる人間が足りていないからだ。需要に供給が追いついていない領域は、自然と単価が上がる。それだけのことだ。
案件相場の詳細は、セキュリティプロ・フリーランスの案件一覧からご確認いただけます。
単価は「診断できる」だけでは頭打ちになります。
上げる鍵は、スキルの掛け算です。
単価が動きやすい組み合わせは、次のとおりです。
Web診断しかできない人より、NW・クラウドまで一気通貫で見られる人のほうが、任される案件の幅が広がります。
脆弱性診断の英語ドキュメントを読めれば、海外製ツールや最新の攻撃情報にも追従できます。
ひとつの専門を深めつつ、隣接領域を足していく。
これが単価を上げる現実的な道筋です。
脆弱性診断士になる王道は、基礎学習と実践の往復です。
未経験からのステップと、需要が伸びる背景を見ていきましょう。
未経験からでも、順序を踏めば現実的に目指せます。
大事なのは、知識を「証明できる形」に変えていくことです。
おすすめの進め方は、以下のとおりです。
文系・未経験の方でも、論理的に考える力と継続学習があれば十分に参入できます。
最初の一歩でつまずきやすいのは、座学だけで止まってしまうケースです。
学んだ攻撃手法を、必ず自分の手で再現してみる。
この習慣が、診断士への最短ルートになります。
情報システム部やヘルプデスクからの転身も、よくあるキャリアパスのひとつです。
脆弱性診断の需要は、構造的に伸びています。
背景には、診断を求める制度やガイドラインの広がりがあります。
需要を押し上げている主な要因は、次のとおりです。
求人・案件は、転職サイトやフリーランスのマッチングサービスで探すのが基本です。
正社員なら診断会社やセキュリティベンダー、フリーランスなら案件プラットフォームが入口になります。
運営元のセキュリティプロ・フリーランスでも、Web診断に加えてネットワークやクラウドまで対応できる人材を求める案件が目立つ印象です。
未経験歓迎の案件もあり、未経験からセキュリティ領域へ挑戦できるフリーランス案件のような形で、実務に踏み出す選択肢も存在します。
需要過多が続く今は、診断スキルを身につけた人にとって追い風の市場です。
チップス求人を探しても、未経験お断りばっかりだったらどうしよう…でしゅ。
ボス心配するな。診断ニーズは制度に後押しされて増え続けている。スキルを証明できれば、入口は思ったより広いものだ。
最後に、残りやすい疑問へ簡潔に答えます。
脆弱性診断士は、システムの弱点を洗い出して改善につなげる専門職です。
仕事はWebとネットワークの2系統に分かれ、技術力と報告力の両方が単価を左右します。
資格は国家資格ではなくSecuriSTなどの民間認定が中心で、国家資格の情報処理安全確保支援士とは補完関係にあります。
年収は正社員で500万円台、フリーランスなら月80万円規模の案件も珍しくありません。
診断できる人材の不足は続いていて、今が市場の追い風だと私は見ています。
手に職がついて、しかも需要が供給を上回る脆弱性診断のスキルは、独立と特に相性のよい領域です。
このメディアを運営するスプラッシュエンジニアリングは、セキュリティ人材のフリーランス(案件参画)を支援しています。
診断スキルを活かして独立を考えるなら、システムセキュリティレビュー支援のフリーランス案件のような案件もあるセキュリティプロ・フリーランスに登録し、まずは今の単価相場を確かめてみてください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
