ホワイトハッカーの資格はどれを取るべき？【2026年比較】CEH・OSCP+・Security+・PenTest+・登録セキスペを目的別に

最初に結論から述べます。ホワイトハッカーの資格は「実力の証明」ではありません。「実力を、他人に最短で伝えるための共通言語」です。

採用担当者も、案件を発注する企業も、あなたのGitHubやCTFのwriteupを一つずつ精読する時間はありません。資格は、その信用のショートカットとして機能します。だから資格選びの問いは「どれが一番すごいか」ではなく、**「誰に・何を伝えたいか」**です。本記事は、各資格を公式ドキュメントの最新仕様に忠実に比較し、あなたの目的に合う1枚を選べるようにします。

この記事はホワイトハッカーになるには【完全ロードマップ】の資格パートを単独で深掘りするスポークです。全体像はピラー記事を、法律の前提はホワイトハッカーと法律を先にご覧ください。

1. 資格は2軸で選ぶ — 「入口 / 実戦」×「国内 / グローバル」

数ある資格を、たった2つの軸でマッピングすると一気に見通せます。

                  グローバルで効く
                        ▲
          ISC2 CC ●     │     ● OSCP+（実戦の証明・最難関級）
       Security+ ●      │     ● CEH / PenTest+
   （基礎・入口）        │       （攻撃手法・診断実務）
   ───────────────●─────┼─────●───────────────▶ 実戦（攻撃の証明）
   入口（基礎）          │
            登録セキスペ ●（国内の公的証明・国家資格）
                        │     ● 情報処理安全確保支援士＋実務
                  国内で効く

• 横軸（入口⇄実戦）：基礎知識を体系化する“入口資格”か、実際に攻撃・診断できることを示す“実戦資格”か。
• 縦軸（国内⇄グローバル）：日本の就職・入札・社内評価で効くか、世界中の求人で通用するか。

あなたの目的をこの平面に置けば、取るべき資格は自ずと絞れます。以下、各資格を公式仕様で正確に見ていきます。

2. 入口資格 — 基礎を体系化し、土俵に上がる

2-1. ISC2 CC（Certified in Cybersecurity）

(ISC)² の CC は、実務経験ゼロでも受けられる世界共通の入門資格です。セキュリティの5領域を広く浅く体系化でき、「これからセキュリティを始める」最初の1枚に向きます。

• 位置づけ：入口（基礎）／グローバル
• 実務経験：不要
• 形式：多肢選択
• 更新：年会費（AMF）＋継続教育（CPE）で3年サイクル

補足：(ISC)² の「One Million Certified in Cybersecurity」（無料受験プログラム）は新規受付を終了しましたが、すでに発行済みの受験コードは2026年12月31日まで受験に使えます。コードを持っている人は早めに。

2-2. CompTIA Security+（SY0-701）

CompTIA Security+ は、世界の求人票で最も名指しされる“実務基礎の標準”です。攻撃・防御の両方の土台を、特定ベンダーに依存せず学べます。

• 位置づけ：入口（基礎・実務寄り）／グローバル
• 現行版：SY0-701（2023年11月7日開始）
• 形式：最大90問・90分（多肢選択＋実技形式の混在）
• 更新：継続教育（CE）で3年サイクル

「グローバルで通じる土台を1枚だけ」なら、コスパ・知名度の両面で Security+ が最有力です。

3. 国内で最も効く国家資格 — 情報処理安全確保支援士（登録セキスペ）

日本国内で働くなら、情報処理安全確保支援士（登録セキスペ）は別格です。サイバーセキュリティ分野で唯一の国家資格であり、入札要件・社内評価・転職で“効き”ます。公式情報を正確に整理します（出典：IPA）。

登録後の「学び続ける義務」（他資格との決定的な違い）

登録セキスペは“取って終わり”ではありません。登録後、以下の講習が義務付けられます。

登録の有効期限は3年で、更新申請は期限の60日前まで、所定の講習をすべて修了していることが条件です（IPA「講習」・更新）。

国の本気度：経済産業省は2025年5月の「サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ」で、登録セキスペを2030年までに5万人（2025年4月時点で約2.4万人）へ増やす目標を掲げました。国内志向なら、追い風が吹いている資格です。

国内就職・SIer・官公庁案件を狙うなら、基本情報 → 応用情報 → 登録セキスペの王道ルートに、グローバル共通語として Security+ を添えるのが鉄板です。

4. 実戦資格 — 「攻撃できること」を証明する

基礎を固めたら、攻撃の実力を示す資格へ。重みは概ね CEH ＜ PenTest+ ＜ OSCP+ の順です。

4-1. CEH v13（EC-Council）— 攻撃手法の“網羅”

CEH（Certified Ethical Hacker） は、攻撃手法を体系的・網羅的に学ぶ資格です。知名度が高く、求人で名指しされることも多い。

• 知識試験：125問・4時間
• CEH Practical（任意）：実技20課題・6時間。知識試験と両方合格で CEH Master
• 更新：ECEで3年サイクル

「広く知っている」ことの証明には強い一方、“実際に侵入できる”ことの証明としては OSCP+ に一歩譲ります。

4-2. CompTIA PenTest+（PT0-003）— 診断実務のバランス型

PenTest+ は、ペネトレーションテストの一連の工程（計画・偵察・攻撃・報告）を実務目線で問う資格です。日本語でも受験できるのが効きます。

• 現行版：PT0-003（2024年12月17日開始）
• 形式：最大90問・165分、合格 750/900
• 推奨経験：診断職3〜4年相当、Network+／Security+ 相当の知識
• 更新：CEで3年サイクル

4-3. OSCP+（OffSec PEN-200）— 実戦力の“証明書”

OSCP+ は、ホワイトハッカーの“登竜門”として最も重みのある実戦資格です。机上ではなく、24時間ぶっ続けの実技で「実際に侵入できる」ことを証明します（OffSec公式の試験ガイド）。

• 2024年11月1日からの新形式で、従来のボーナス点は廃止。純粋に実技の成績だけで判定。
• OSCP+ は発行から3年で失効（旧 OSCP は無期限のまま）。

未経験から最短で“実戦力”を市場に示すなら、Security+ → PenTest+ → OSCP+ がコストと難度のバランスで王道です。さらにその先、管理職・コンサル層には5年の実務経験を要する (ISC)² CISSP が“天井”として控えます（学位や承認資格で最大1年の経験を免除可）。

5. 一覧で俯瞰する

受験料は改定されます。金額は必ず各公式サイトで最新を確認してください。本記事では意図的に固定額を書きません（古い金額は誤解を生むため）。

6. 「目的別」最短ルート

完全未経験・国内就職重視     基本情報 → 応用情報 → 登録セキスペ（＋ Security+ で世界共通語）
攻め（ペンテスト）に進む     ISC2 CC / Security+ → CEH（知識） → PenTest+ → OSCP+（実戦）
守り（防御・監査）に進む     Security+ → 登録セキスペ →（将来）CISSP
学生・若手で“まず1枚”        Security+（世界で通じる・コスパ最良の土台）

7. 資格を「型で」考える — エンジニアらしい比較の型

最後に、エンジニアらしい小話を。私はこのサイトの記事クラスタやCTA導線を、すべて型で縛った単一の真実源として管理しています。資格比較も同じ発想でモデル化すると、抜け漏れなく・機械的に扱えます。下は、その考え方を示す最小の型安全モデルです（TypeScript）。

// certifications.ts — 資格データを“型で”モデル化し、比較の単一の真実源にする。
// as const satisfies で「データの形」をコンパイル時に保証する（型の逃げ道を作らない）。
type Track = "foundation" | "offensive" | "defensive";
type Provider = "EC-Council" | "OffSec" | "CompTIA" | "ISC2" | "IPA";

interface Certification {
  readonly id: string;
  readonly name: string;
  readonly provider: Provider;
  readonly track: Track;
  readonly handsOn: boolean; // 実技試験を含むか
  readonly experienceRequired: boolean; // 受験に実務経験が要るか
  readonly validityYears: number | null; // null = 無期限
}

const CERTIFICATIONS = [
  { id: "cc", name: "ISC2 CC", provider: "ISC2", track: "foundation", handsOn: false, experienceRequired: false, validityYears: 3 },
  { id: "security-plus", name: "Security+ (SY0-701)", provider: "CompTIA", track: "foundation", handsOn: false, experienceRequired: false, validityYears: 3 },
  { id: "toroku-sec", name: "登録セキスペ", provider: "IPA", track: "defensive", handsOn: false, experienceRequired: false, validityYears: 3 },
  { id: "ceh", name: "CEH v13", provider: "EC-Council", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 },
  { id: "pentest-plus", name: "PenTest+ (PT0-003)", provider: "CompTIA", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 },
  { id: "oscp-plus", name: "OSCP+", provider: "OffSec", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 },
] as const satisfies readonly Certification[];

// 目的（トラック）から候補を引く純粋関数。該当なしでも空配列を返し、決して落ちない（総関数）。
export const certificationsByTrack = (track: Track): readonly Certification[] =>
  CERTIFICATIONS.filter((cert) => cert.track === track);

この姿勢——「データの形を型で固定し、判断を純粋関数に閉じ込める」——は、資格選びにも、セキュアなアプリ設計にも、同じく効きます。

8. 資格は出発点であって、到達点ではない

最後に、最も大切なことを。資格は実力そのものではありません。 OSCP+を持っていても、実際の現場で手が動かなければ意味がなく、無資格でもバグバウンティで実績を出している人は山ほどいます。

評価される人は、例外なく**資格 ×「手を動かした実績」**の掛け算です。

• CTFの常設プラットフォーム（picoCTF / Hack The Box / TryHackMe）のランクや writeup
• バグバウンティ（HackerOne / Bugcrowd）の確定報告（→ バグバウンティの始め方）
• 自作ツールや脆弱性検証の GitHub
• 勉強会・登壇・ブログでの発信

その“手を動かす場”の作り方は、独学ロードマップ：自宅に合法ラボを作るで具体的に解説しています。資格で土俵に上がり、実績で勝つ——この順番を間違えないでください。

企業の方へ： 「自社でこの人材を育てるか、外部の専門家に診てもらうか」で迷っているなら、ホワイトハッカーの仕事・年収・キャリアで“雇う vs 任せる”の判断軸を整理しています。リリース前の脆弱性診断・監査だけが必要なら、人材を育てるより外部に任せる方が速く・確実です。

参考（公式一次情報）

• EC-Council CEH v13／CEH Practical
• OffSec PEN-200（OSCP+）／OSCP Exam Guide
• CompTIA（Security+ / PenTest+）
• (ISC)² CC / CISSP
• IPA 情報処理安全確保支援士（登録セキスペ）／経済産業省 人材育成 最終取りまとめ（2025年5月）