# ホワイトハッカーの資格はどれを取るべき?【2026年比較】CEH・OSCP+・Security+・PenTest+・登録セキスペを目的別に > ホワイトハッカー(倫理的ハッカー)の主要資格を、各公式(EC-Council/OffSec/CompTIA/(ISC)²/IPA)の最新仕様に忠実に比較。CEH v13・OSCP+・Security+ SY0-701・PenTest+ PT0-003・国家資格の登録セキスペを『入口か実戦か』『国内かグローバルか』の2軸で整理し、未経験・攻め・守り・学生のタイプ別に“最短で信用を得る”取得順序を、費用・有効期限・更新義務まで含めて示します。 - 公開日: 2026-06-28 - 著者: 友田 陽大 - タグ: セキュリティ, ホワイトハッカー, 資格, 倫理的ハッキング, キャリア - URL: https://tomodahinata.com/blog/ethical-hacker-certification-comparison-ceh-oscp-security-plus-pentest-plus-toroku-sec-guide - カテゴリ: ホワイトハッカー入門 - 総合ガイド: https://tomodahinata.com/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide ## 要点 - 資格は『実力の証明』ではなく『実力を他人に伝える共通言語』。採用担当も発注者もあなたのGitHubを精読する時間はない。資格はその“信用のショートカット”として効く - 選び方は2軸で決まる:『入口(基礎)か実戦(攻撃の証明)か』×『国内で効くかグローバルで効くか』。CEH=網羅、OSCP+=実戦力の証明、Security+/CC=基礎、登録セキスペ=国内の公的証明 - 公式の最新仕様で固定:CEH v13(知識125問/4h+実技20課題/6h)、OSCP+(24h実技・100点中70点・2024/11新形式・3年失効)、Security+ SY0-701、PenTest+ PT0-003(750点合格)、登録セキスペ(2026年度CBT化) - 国家資格『登録セキスペ』は試験自体に実務経験不要・誰でも受験可。ただし登録後はオンライン講習(年1回・2万円)+実践講習(3年に1回)が義務で、3年ごとに更新。国内就職・入札で最も効く - 資格だけでは足りない。CTF・バグバウンティ・自作ツールの“手を動かした実績”と組み合わせて初めて市場価値になる。資格は到達点ではなく出発点 --- 最初に結論から述べます。**ホワイトハッカーの資格は「実力の証明」ではありません。「実力を、他人に最短で伝えるための共通言語」です。** 採用担当者も、案件を発注する企業も、あなたのGitHubやCTFのwriteupを一つずつ精読する時間はありません。資格は、その**信用のショートカット**として機能します。だから資格選びの問いは「どれが一番すごいか」ではなく、**「誰に・何を伝えたいか」**です。本記事は、各資格を公式ドキュメントの最新仕様に忠実に比較し、あなたの目的に合う1枚を選べるようにします。 > この記事は[ホワイトハッカーになるには【完全ロードマップ】](/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide)の資格パートを単独で深掘りするスポークです。全体像はピラー記事を、法律の前提は[ホワイトハッカーと法律](/blog/ethical-hacker-law-japan-unauthorized-access-act-active-cyber-defense-disclosure-guide)を先にご覧ください。 --- ## 1. 資格は2軸で選ぶ — 「入口 / 実戦」×「国内 / グローバル」 数ある資格を、たった2つの軸でマッピングすると一気に見通せます。 ```text グローバルで効く ▲ ISC2 CC ● │ ● OSCP+(実戦の証明・最難関級) Security+ ● │ ● CEH / PenTest+ (基礎・入口) │ (攻撃手法・診断実務) ───────────────●─────┼─────●───────────────▶ 実戦(攻撃の証明) 入口(基礎) │ 登録セキスペ ●(国内の公的証明・国家資格) │ ● 情報処理安全確保支援士+実務 国内で効く ``` - **横軸(入口⇄実戦)**:基礎知識を体系化する“入口資格”か、実際に攻撃・診断できることを示す“実戦資格”か。 - **縦軸(国内⇄グローバル)**:日本の就職・入札・社内評価で効くか、世界中の求人で通用するか。 あなたの目的をこの平面に置けば、取るべき資格は自ずと絞れます。以下、各資格を公式仕様で正確に見ていきます。 --- ## 2. 入口資格 — 基礎を体系化し、土俵に上がる ### 2-1. ISC2 CC(Certified in Cybersecurity) [(ISC)² の CC](https://www.isc2.org/certifications/cc) は、**実務経験ゼロでも受けられる**世界共通の入門資格です。セキュリティの5領域を広く浅く体系化でき、「これからセキュリティを始める」最初の1枚に向きます。 - **位置づけ**:入口(基礎)/グローバル - **実務経験**:不要 - **形式**:多肢選択 - **更新**:年会費(AMF)+継続教育(CPE)で3年サイクル > 補足:(ISC)² の「One Million Certified in Cybersecurity」(無料受験プログラム)は新規受付を終了しましたが、**すでに発行済みの受験コードは2026年12月31日まで**受験に使えます。コードを持っている人は早めに。 ### 2-2. CompTIA Security+(SY0-701) [CompTIA Security+](https://www.comptia.org/) は、世界の求人票で最も名指しされる“実務基礎の標準”です。攻撃・防御の両方の土台を、特定ベンダーに依存せず学べます。 - **位置づけ**:入口(基礎・実務寄り)/グローバル - **現行版**:**SY0-701**(2023年11月7日開始) - **形式**:最大90問・90分(多肢選択+実技形式の混在) - **更新**:継続教育(CE)で3年サイクル 「グローバルで通じる土台を1枚だけ」なら、コスパ・知名度の両面で Security+ が最有力です。 --- ## 3. 国内で最も効く国家資格 — 情報処理安全確保支援士(登録セキスペ) 日本国内で働くなら、**情報処理安全確保支援士(登録セキスペ)**は別格です。サイバーセキュリティ分野で**唯一の国家資格**であり、入札要件・社内評価・転職で“効き”ます。公式情報を正確に整理します(出典:[IPA](https://www.ipa.go.jp/jinzai/riss/index.html))。 | 項目 | 内容(公式) | |---|---| | 位置づけ | 入口〜中級・**国内の公的証明**(国家資格) | | 試験の実務経験 | **不要**(誰でも受験できる) | | 2026年度の変更 | **CBT化**。出題範囲・形式(多肢選択+記述)・時間は不変。科目A/科目B構成 | | 試験時期(予定) | 前期試験:2026年11月頃/後期試験:2027年2月頃 | | 登録(名乗るには) | 試験合格後、登録手続きが必要。**登録して初めて“登録セキスペ”を名乗れる** | ### 登録後の「学び続ける義務」(他資格との決定的な違い) 登録セキスペは“取って終わり”ではありません。登録後、以下の講習が義務付けられます。 | 講習 | 頻度 | 費用 | |---|---|---| | オンライン講習 | 1年に1回(3年で計3回) | **2万円**/回 | | 実践講習(IPA/民間) | 3年に1回 | 講習による | **登録の有効期限は3年**で、更新申請は期限の60日前まで、所定の講習をすべて修了していることが条件です([IPA「講習」](https://www.ipa.go.jp/jinzai/riss/forriss/koushu/index.html)・[更新](https://www.ipa.go.jp/jinzai/riss/forriss/koushin.html))。 > **国の本気度**:経済産業省は2025年5月の[「サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ」](https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html)で、登録セキスペを**2030年までに5万人**(2025年4月時点で約2.4万人)へ増やす目標を掲げました。国内志向なら、追い風が吹いている資格です。 国内就職・SIer・官公庁案件を狙うなら、**基本情報 → 応用情報 → 登録セキスペ**の王道ルートに、グローバル共通語として Security+ を添えるのが鉄板です。 --- ## 4. 実戦資格 — 「攻撃できること」を証明する 基礎を固めたら、攻撃の実力を示す資格へ。重みは概ね **CEH < PenTest+ < OSCP+** の順です。 ### 4-1. CEH v13(EC-Council)— 攻撃手法の“網羅” [CEH(Certified Ethical Hacker)](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-v13-north-america/) は、攻撃手法を体系的・網羅的に学ぶ資格です。知名度が高く、求人で名指しされることも多い。 - **知識試験**:125問・4時間 - **CEH Practical(任意)**:[実技20課題・6時間](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-practical/)。知識試験と両方合格で **CEH Master** - **更新**:ECEで3年サイクル 「広く知っている」ことの証明には強い一方、“実際に侵入できる”ことの証明としては OSCP+ に一歩譲ります。 ### 4-2. CompTIA PenTest+(PT0-003)— 診断実務のバランス型 [PenTest+](https://www.comptia.org/en-us/certifications/pentest/) は、ペネトレーションテストの一連の工程(計画・偵察・攻撃・報告)を実務目線で問う資格です。**日本語でも受験できる**のが効きます。 - **現行版**:**PT0-003**(2024年12月17日開始) - **形式**:最大90問・165分、合格 **750/900** - **推奨経験**:診断職3〜4年相当、Network+/Security+ 相当の知識 - **更新**:CEで3年サイクル ### 4-3. OSCP+(OffSec PEN-200)— 実戦力の“証明書” [OSCP+](https://www.offsec.com/courses/pen-200/) は、ホワイトハッカーの“登竜門”として最も重みのある実戦資格です。机上ではなく、**24時間ぶっ続けの実技**で「実際に侵入できる」ことを証明します([OffSec公式の試験ガイド](https://help.offsec.com/hc/en-us/articles/360040165632-OSCP-Exam-Guide))。 | 区分 | 構成 | 配点 | |---|---|---| | スタンドアロン3台 | 1台20点(初期侵入10+権限昇格10) | 計60点 | | Active Directory セット(3台) | 10点+10点+20点(侵害後を想定しID/PW付与) | 計40点 | | **合格ライン** | 100点満点中 | **70点** | - **2024年11月1日からの新形式**で、従来のボーナス点は**廃止**。純粋に実技の成績だけで判定。 - **OSCP+ は発行から3年で失効**(旧 OSCP は無期限のまま)。 未経験から最短で“実戦力”を市場に示すなら、**Security+ → PenTest+ → OSCP+** がコストと難度のバランスで王道です。さらにその先、管理職・コンサル層には5年の実務経験を要する **[(ISC)² CISSP](https://www.isc2.org/certifications/cissp/cissp-experience-requirements)** が“天井”として控えます(学位や承認資格で最大1年の経験を免除可)。 --- ## 5. 一覧で俯瞰する | 資格 | 提供元 | 軸 | 実技 | 実務経験 | 有効期限 | |---|---|---|---|---|---| | ISC2 CC | (ISC)² | 入口・グローバル | × | 不要 | 3年(CPE) | | CompTIA Security+ | CompTIA | 入口・グローバル | △ | 推奨のみ | 3年(CE) | | 登録セキスペ | IPA(国家資格) | 国内・公的 | × | 試験は不要 | 3年(講習+更新) | | CEH v13 | EC-Council | 実戦・グローバル | ○(任意) | 推奨 | 3年(ECE) | | PenTest+ | CompTIA | 実戦・グローバル | ○ | 推奨3〜4年 | 3年(CE) | | OSCP+ | OffSec | 実戦・グローバル | ◎(24h) | 推奨 | 3年で失効 | | CISSP | (ISC)² | 上級・管理 | × | **5年** | 3年(CPE) | > 受験料は改定されます。**金額は必ず各公式サイトで最新を確認**してください。本記事では意図的に固定額を書きません(古い金額は誤解を生むため)。 --- ## 6. 「目的別」最短ルート ```text 完全未経験・国内就職重視 基本情報 → 応用情報 → 登録セキスペ(+ Security+ で世界共通語) 攻め(ペンテスト)に進む ISC2 CC / Security+ → CEH(知識) → PenTest+ → OSCP+(実戦) 守り(防御・監査)に進む Security+ → 登録セキスペ →(将来)CISSP 学生・若手で“まず1枚” Security+(世界で通じる・コスパ最良の土台) ``` --- ## 7. 資格を「型で」考える — エンジニアらしい比較の型 最後に、エンジニアらしい小話を。私はこのサイトの記事クラスタやCTA導線を、すべて**型で縛った単一の真実源**として管理しています。資格比較も同じ発想でモデル化すると、抜け漏れなく・機械的に扱えます。下は、その考え方を示す最小の型安全モデルです(TypeScript)。 ```ts // certifications.ts — 資格データを“型で”モデル化し、比較の単一の真実源にする。 // as const satisfies で「データの形」をコンパイル時に保証する(型の逃げ道を作らない)。 type Track = "foundation" | "offensive" | "defensive"; type Provider = "EC-Council" | "OffSec" | "CompTIA" | "ISC2" | "IPA"; interface Certification { readonly id: string; readonly name: string; readonly provider: Provider; readonly track: Track; readonly handsOn: boolean; // 実技試験を含むか readonly experienceRequired: boolean; // 受験に実務経験が要るか readonly validityYears: number | null; // null = 無期限 } const CERTIFICATIONS = [ { id: "cc", name: "ISC2 CC", provider: "ISC2", track: "foundation", handsOn: false, experienceRequired: false, validityYears: 3 }, { id: "security-plus", name: "Security+ (SY0-701)", provider: "CompTIA", track: "foundation", handsOn: false, experienceRequired: false, validityYears: 3 }, { id: "toroku-sec", name: "登録セキスペ", provider: "IPA", track: "defensive", handsOn: false, experienceRequired: false, validityYears: 3 }, { id: "ceh", name: "CEH v13", provider: "EC-Council", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 }, { id: "pentest-plus", name: "PenTest+ (PT0-003)", provider: "CompTIA", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 }, { id: "oscp-plus", name: "OSCP+", provider: "OffSec", track: "offensive", handsOn: true, experienceRequired: false, validityYears: 3 }, ] as const satisfies readonly Certification[]; // 目的(トラック)から候補を引く純粋関数。該当なしでも空配列を返し、決して落ちない(総関数)。 export const certificationsByTrack = (track: Track): readonly Certification[] => CERTIFICATIONS.filter((cert) => cert.track === track); ``` この姿勢——**「データの形を型で固定し、判断を純粋関数に閉じ込める」**——は、資格選びにも、セキュアなアプリ設計にも、同じく効きます。 --- ## 8. 資格は出発点であって、到達点ではない 最後に、最も大切なことを。**資格は実力そのものではありません。** OSCP+を持っていても、実際の現場で手が動かなければ意味がなく、無資格でもバグバウンティで実績を出している人は山ほどいます。 評価される人は、例外なく**資格 ×「手を動かした実績」**の掛け算です。 - **CTF**の常設プラットフォーム(picoCTF / Hack The Box / TryHackMe)のランクや writeup - **バグバウンティ**(HackerOne / Bugcrowd)の確定報告(→ [バグバウンティの始め方](/blog/bug-bounty-getting-started-hackerone-bugcrowd-scope-report-disclosure-guide)) - **自作ツール**や脆弱性検証の GitHub - 勉強会・登壇・ブログでの発信 その“手を動かす場”の作り方は、[独学ロードマップ:自宅に合法ラボを作る](/blog/ethical-hacking-home-lab-kali-juice-shop-ctf-self-study-roadmap-guide)で具体的に解説しています。資格で土俵に上がり、実績で勝つ——この順番を間違えないでください。 > **企業の方へ:** 「自社でこの人材を育てるか、外部の専門家に診てもらうか」で迷っているなら、[ホワイトハッカーの仕事・年収・キャリア](/blog/ethical-hacker-career-path-salary-job-roles-freelance-guide)で“雇う vs 任せる”の判断軸を整理しています。リリース前の脆弱性診断・監査だけが必要なら、人材を育てるより外部に任せる方が速く・確実です。 --- ### 参考(公式一次情報) - [EC-Council CEH v13](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-v13-north-america/)/[CEH Practical](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-practical/) - [OffSec PEN-200(OSCP+)](https://www.offsec.com/courses/pen-200/)/[OSCP Exam Guide](https://help.offsec.com/hc/en-us/articles/360040165632-OSCP-Exam-Guide) - [CompTIA(Security+ / PenTest+)](https://www.comptia.org/) - [(ISC)² CC / CISSP](https://www.isc2.org/certifications) - [IPA 情報処理安全確保支援士(登録セキスペ)](https://www.ipa.go.jp/jinzai/riss/index.html)/[経済産業省 人材育成 最終取りまとめ(2025年5月)](https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html)