# ホワイトハッカーになるには【2026年完全ロードマップ】公式に忠実な資格・学習順序・合法的な実践環境の作り方

> ホワイトハッカー（倫理的ハッカー）になるための完全ロードマップ。最初に押さえる法律と倫理（不正アクセス禁止法）から、Dockerで作る合法的な実践環境、CEH v13・OSCP+・登録セキスペなど資格の公式情報、バグバウンティと脆弱性の正しい届け方まで、各公式ドキュメントに忠実な実コード付きで、独学から実務・案件までを一気通貫で解説します。

- 公開日: 2026-06-28
- 著者: 友田 陽大
- タグ: セキュリティ, ホワイトハッカー, 倫理的ハッキング, 資格, ペネトレーションテスト
- URL: https://tomodahinata.com/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide
- カテゴリ: ホワイトハッカー入門

## 要点

- 『ホワイト』と『ブラック』を分けるのは技術ではなく『許可』。同じ技術でも、書面の許可があれば正当な業務、なければ不正アクセス禁止法違反（不正アクセス行為そのものは3年以下の拘禁刑）。最初に学ぶべきは攻撃手法ではなく、法律と倫理の境界線
- 資格は『入口（基礎）』と『実戦（証明）』で役割が違う。入口＝ISC2 CC／CompTIA Security+／国家資格の登録セキスペ、実戦の証明＝OSCP+（100点中70点で合格の24時間実技）／CEH／PenTest+。順序は『知識→実践→専門化』
- 実力は資格より『合法的に手を動かした量』で決まる。自分のPCにDockerでOWASP Juice Shop等の意図的に脆弱なアプリを立て、CTF・自分の資産・正式なバグバウンティの“3つの安全地帯”だけで練習する
- 発見した脆弱性の正しい出口は3つだけ：自社なら修正、他社サービスは正式なバグバウンティ（HackerOne／Bugcrowd）か日本の脆弱性届出制度（IPA受付・JPCERT/CC調整）。無許可テストと無断公表はしない（コーディネーテッド・ディスクロージャ）
- 公式の最新を固定：CEH v13（知識125問＋実技20課題）／OSCP+（2024年11月の新形式・3年で失効）／Security+ SY0-701／PenTest+ PT0-003／OWASP Top 10:2025（A01アクセス制御が依然1位、SSRF統合）

---

最初に結論から述べます。**ホワイトハッカーとブラックハッカーを分けるのは、技術力ではありません。「許可」です。** 同じポートスキャン、同じSQLインジェクションの試行でも、対象が「自分の資産」か「書面で明示的な許可を得た対象」であれば正当なセキュリティ業務であり、そうでなければ犯罪になります。

だから本記事は、世間にあふれる「まずKali Linuxを入れよう」式のロードマップとは順番を変えます。**最初に学ぶのは攻撃手法ではなく、法律と倫理の境界線です。** その一線さえ体に入れば、あとは安心して技術に没頭できます。

「ホワイトハッカーになりたいが、何から手をつければいいか分からない」「資格は必要か、独学で可能か、どのくらいかかるのか」「そもそも違法にならないか不安」——本記事は、その全部に**各公式ドキュメント（EC-Council／OffSec／CompTIA／(ISC)²／IPA／OWASP／警察庁）に忠実**な形で、**独学から実務・案件まで**を一気通貫で答えます。途中の実践はすべて、コピーして動かせる**合法的な実コード**で示します。

> **本記事の対象読者：** これからセキュリティを学ぶ未経験〜若手エンジニア、独学でホワイトハッカーを目指す方、そして「自社のアプリのために、ホワイトハッカー的な人材を雇うべきか／自分で学ぶべきか」を判断したい開発者・経営者。

---

## 0. ⚠️ 最重要：「ホワイト」を担保するのは技術ではなく「許可」

技術の前に、**日本の法律**を必ず先に押さえてください。これを飛ばすと、善意の学習が一発で犯罪になります。

### 0-1. 不正アクセス禁止法 — 何が禁じられているか

[不正アクセス行為の禁止等に関する法律](https://laws.e-gov.go.jp/law/411AC0000000128/)（平成11年法律第128号）が、ホワイトハッカーの“地図の外周”を定義します。[警察庁の解説](https://www.npa.go.jp/cyber/legislation/index.html)に基づくと、おおむね次が禁止されます。

| 禁止される行為 | 具体例 | 罰則（公式） |
|---|---|---|
| **不正アクセス行為（第3条）** | 他人のID/パスワードでログインする／プログラムの不備を突いてアクセス制御を回避する | **3年以下の拘禁刑 又は 100万円以下の罰金** |
| **識別符号の不正取得・保管（第4・6条）** | 不正アクセス目的で他人のID/パスワードを取得・保管する | **1年以下の拘禁刑 又は 50万円以下の罰金** |
| **不正アクセスを助長する行為（第5条）** | 他人のID/パスワードを第三者に提供する | 同上（情を知らない場合は罰金のみ） |
| **フィッシング行為（第7条）** | 管理者を装って識別符号の入力を求めるサイト等を作る | **1年以下の拘禁刑 又は 50万円以下の罰金** |

> **2026年時点の最新点：** 2025年6月施行の刑法改正で、従来の「懲役・禁錮」は**「拘禁刑」に一本化**されました。古い記事は「3年以下の懲役」と書いていますが、現行条文は「拘禁刑」です。条文は必ず[e-Gov法令検索](https://laws.e-gov.go.jp/law/411AC0000000128/)で最新版を確認してください。

ポイントは、**「アクセス制御を破る／回避する」こと自体が、被害の有無に関係なく罪**だという点です。「データは見ていない」「無害だと思った」は、日本では通用しにくい。**無許可の対象には、ログイン画面を覗く以上のことをしない**——これが絶対のルールです。

### 0-2. ツールを作る側の法律 — 刑法のウイルス罪

攻撃ツールやスクリプトを書くときに関わるのが、刑法の[不正指令電磁的記録に関する罪（刑法168条の2・168条の3、いわゆる「ウイルス罪」）](https://laws.e-gov.go.jp/law/140AC0000000045/)です。**「正当な理由がないのに」**マルウェアを作成・提供・取得・保管する行為が処罰対象になります。

ホワイトハッカーは、診断ツールやPoC（概念実証コード）を書きます。これが合法なのは、**「正当な理由」＝許可された診断・研究・教育という文脈**があるからです。逆に言えば、文脈を失った瞬間に同じコードが違法になります。**「何を書いたか」ではなく「なぜ・どこで使うか」が線引き**だと覚えてください。

### 0-3. 安全に練習してよい「3つの安全地帯」

では、どこでなら自由に手を動かせるのか。練習が許されるのは、原則この3つだけです。

1. **自分が管理する資産** — 自分のPC、自分が借りたVPS、自分が作ったアプリ。本記事のハンズオンはすべてここで行います。
2. **意図的に脆弱に作られた学習用環境・CTF** — OWASP Juice Shop、DVWA、[picoCTF](https://picoctf.org/)、Hack The Box、TryHackMe など、「攻撃してよい」と明示された対象。
3. **正式なバグバウンティ／脆弱性開示プログラム（VDP）の対象** — 企業が「この範囲なら調べてよい」と公開した、許可済みのスコープ（第6章で詳説）。

この3つの“柵”の外に出ない限り、あなたの活動は完全に合法です。柵の外に一歩でも出れば犯罪です。**この境界線の徹底こそが、技術以上にホワイトハッカーを「ホワイト」たらしめる**唯一の条件です。

---

## 1. ホワイトハッカーとは何か — 近接職種を整理する

「ホワイトハッカー」は和製英語に近い総称で、英語圏では **Ethical Hacker（倫理的ハッカー）** と呼びます。実務では役割がもっと細かく分かれており、ここを混同すると「どの資格を取り、何を学ぶべきか」がぶれます。

| 役割 | 主な問い | 仕事の中身 | 近い資格 |
|---|---|---|---|
| **脆弱性診断士（Vulnerability Assessor）** | 既知の穴は残っていないか | ツール中心の網羅スキャン（広く・浅く） | PenTest+, CEH |
| **ペネトレーションテスター** | 攻撃者は実際に侵入できるか | 攻撃者視点で“侵入を実証”する（深く・狭く） | **OSCP+**, CEH Practical |
| **レッドチーム** | 検知・対応まで含めて組織は守れるか | 長期・隠密の模擬攻撃（人・プロセスも対象） | OSCP+ の先（OSEP等） |
| **バグバウンティハンター** | このサービスに報奨対象の欠陥はあるか | 公開プログラムで脆弱性を見つけて報告 | 資格不問・実績主義 |
| **セキュリティエンジニア／監査** | 設計と実装は“正しく”守れているか | 防御の設計・実装・コードレビュー・監査 | 登録セキスペ, CISSP |

未経験から目指すなら、**まず「脆弱性診断士／セキュリティエンジニア」の土台**を作り、そこから興味に応じて「ペネトレーションテスター（攻め）」や「監査・防御（守り）」へ枝分かれするのが王道です。攻めと守りは表裏一体で、**「どう破られるか」を知らずに守れず、「どう守るか」を知らずに有効な攻めはできません。**

> 「脆弱性診断」「ペネトレーションテスト」「監査」の厳密な違いと費用感は、[Webアプリ脆弱性診断のやり方【2026年版】](/blog/web-application-vulnerability-assessment-owasp-zap-sast-dast-guide)で実務目線に踏み込んでいます。本記事は“人になるまで”、あちらは“実務のやり方”という関係です。

---

## 2. 全体ロードマップ — 4フェーズで俯瞰する

細部に入る前に、全体像を1枚で持っておきましょう。**「土台 → 攻撃技術 → 証明（資格） → 実戦・収益化」**の4フェーズです。各フェーズは独立ではなく、らせん状に何周もします。

```text
[フェーズ1] 土台スキル        ネットワーク / Linux / Web / プログラミング / 暗号の基礎
      │                       （ここが薄いと、上の階層は丸暗記になり崩れる）
      ▼
[フェーズ2] 合法的な実践       自分のPCに脆弱なアプリを立てて攻撃 / CTF / 道具に慣れる
      │                       （“手を動かした量”がそのまま実力になる唯一のフェーズ）
      ▼
[フェーズ3] 資格で証明         入口資格（CC / Security+ / 登録セキスペ）→ 実戦資格（PenTest+ / CEH / OSCP+）
      │                       （独学の実力を、第三者に伝わる“信用”へ変換する）
      ▼
[フェーズ4] 実戦・収益化       バグバウンティ / 脆弱性届出 / 就職・案件 / 継続学習
                              （安全地帯の中で“本物の対象”に触れ、キャリアにする）
```

目安の期間は、**未経験から「現場で通用する入口レベル」まで本気で1〜2年、ペネトレーションテスターとして「OSCP+級」まで2〜4年**。才能の問題ではなく、**安全地帯でどれだけ手を動かしたかの累積**です。焦らず、しかし毎週必ず手を動かす——これが最短ルートです。

---

## 3. フェーズ1：土台スキル — なぜそれを学ぶのか

セキュリティは「アプリケーションの動作原理を、開発者より一段深く理解する」仕事です。だから土台は、攻撃テクニックそのものより**「コンピュータがどう動くか」**にあります。各分野を「なぜ攻撃者に必要か」とセットで覚えると、丸暗記になりません。

| 分野 | 最低限の到達点 | なぜホワイトハッカーに必要か |
|---|---|---|
| **ネットワーク** | TCP/IP・DNS・HTTP(S)・TLSの流れを図で説明できる | 通信のどこに割り込めるか（中間者・リダイレクト・SSRF）を考える土台 |
| **Linux / OS** | シェル操作・権限・プロセス・ファイル権限を扱える | 侵入後の権限昇格・痕跡・サーバ設定ミスはOSの理解なしに読めない |
| **Webの仕組み** | リクエスト/レスポンス・Cookie・セッション・同一オリジンを説明できる | Web脆弱性（XSS/CSRF/認可不備）はすべてこの上に乗る |
| **プログラミング** | Python or JS/TS で“読めて・書ける”（自動化できる） | PoCを書き、ツールを改造し、コードレビューで欠陥を読むため |
| **暗号の基礎** | ハッシュ・対称/非対称・TLS・JWTの“使いどころ”を区別できる | 「自前実装の暗号」「弱いハッシュ」「JWT検証漏れ」を見抜くため |

ここで**プログラミングが書けること**は、特にAI時代の差別化になります。生成AIは偵察やコード読解を劇的に速くしますが、**「この挙動は脆弱性か、仕様か」を判断するのは人間**です。むしろ生成AIが量産したコードには固有の穴が出やすく、その検出はこれからの主戦場になります（→ [AI生成コードの脆弱性をどう診断するか](/blog/ai-generated-code-vulnerability-assessment-vibe-coding-security-guide)）。

そして、**何を探すべきか**の世界標準が [OWASP（Open Worldwide Application Security Project）](https://owasp.org/) です。土台と並行して、最新の **[OWASP Top 10:2025](https://owasp.org/Top10/2025/)** を“地図”として頭に入れておきましょう。

### OWASP Top 10:2025（2026年6月時点の正式版）

2025年版で、何が最重要リスクとされているかを押さえます。**A01「アクセス制御の不備」が依然として第1位**で、ここがホワイトハッカーの稼ぎどころでもあります。

| コード | カテゴリ | 2025年版での変化 |
|---|---|---|
| **A01** | アクセス制御の不備（Broken Access Control） | **1位を維持**。SSRF（サーバサイドリクエストフォージェリ）が統合された |
| **A02** | セキュリティ設定ミス（Security Misconfiguration） | 順位上昇 |
| **A03** | ソフトウェアサプライチェーンの障害 | **新設**（旧「脆弱な構成要素」から拡張） |
| **A04** | 暗号化の失敗（Cryptographic Failures） | — |
| **A05** | インジェクション（Injection） | — |
| **A06** | 安全でない設計（Insecure Design） | — |
| **A07** | 認証の失敗（Authentication Failures） | — |
| **A08** | ソフトウェア／データ完全性の障害 | — |
| **A09** | セキュリティログ・アラートの不備 | — |
| **A10** | 例外条件の不適切な処理（Mishandling of Exceptional Conditions） | **新設**（エラー処理の不備・フェイルオープン等） |

---

## 4. フェーズ2：合法的な実践環境を自分で作る（ハンズオン）

ここが本記事の核心です。**読むだけでは絶対に身につきません。** 自分のPCに「攻撃してよいアプリ」を立て、第0章の安全地帯①の中で手を動かします。以下のコードは、すべてあなたの**ローカル環境だけ**で完結します。

### 4-1. 学習用の脆弱なアプリを Docker で立てる

業界標準の教材が、OWASP公式の **[Juice Shop](https://owasp.org/www-project-juice-shop/)**（意図的に脆弱なECサイト）です。Dockerで一発で立ちます。ここで**最重要の作法**は、**ポートを `127.0.0.1`（localhost）にだけバインドし、絶対に外部公開しないこと**。脆弱なアプリをインターネットに晒すと、自分が踏み台にされ、加害者になりかねません。

```yaml
# security-lab.yml — 学習用の“意図的に脆弱な”アプリ。絶対に公開しないこと。
# 127.0.0.1 にのみバインドし、外部から到達不能にする（これ自体が重要な作法）。
services:
  juice-shop:
    image: bkimminich/juice-shop:latest   # OWASP公式の意図的に脆弱なアプリ
    ports:
      - "127.0.0.1:3000:3000"             # ← localhost限定。"0.0.0.0" にして公開しない
    security_opt:
      - "no-new-privileges:true"          # コンテナ内での権限昇格を抑止（最小権限）
    restart: "no"
```

```bash
# 起動（自分のPCのブラウザから http://127.0.0.1:3000 で開ける）
docker compose -f security-lab.yml up

# 練習が終わったら必ず落とす（脆弱なアプリを放置しない）
docker compose -f security-lab.yml down
```

立ち上げたら、ブラウザの開発者ツールを開き、ログインフォームに `' OR 1=1--` を入れる、商品検索にスクリプトを入れてみる——といった**OWASP Top 10の各項目を、自分の手で再現**します。Juice Shopは課題形式（スコアボード）になっており、「何を学ぶべきか」が自然に導かれます。

### 4-2. 受動スキャン（DAST）で“気づきの幅”を広げる

手動だけでは見落とします。OWASP の **[ZAP（Zed Attack Proxy）](https://www.zaproxy.org/)** で、まず**受動スキャン（baseline）**を回します。baselineは「普通に巡回して気づいた範囲を報告するだけ」で**攻撃リクエストを撃たない**ため、自分のlabはもちろん挙動が穏やかです。

```bash
# ZAP baseline：受動スキャン。自分のlab（127.0.0.1:3000）にだけ実行する。
# Linux: --network host で localhost を共有。
docker run --rm --network host \
  ghcr.io/zaproxy/zaproxy:stable \
  zap-baseline.py -t http://127.0.0.1:3000 -I

# macOS / Windows の Docker Desktop は host ネットワークが異なるため、
# 対象URLを http://host.docker.internal:3000 に置き換える。
```

> **超重要：** ZAPには能動スキャン（`zap-full-scan.py`）もありますが、これは**実際に攻撃リクエストを送る**ため、**自分が管理する検証環境（ローカル/ステージング）以外には絶対に向けない**でください。他人のサービスへ向けた瞬間、第0章の不正アクセス禁止法・ウイルス罪の問題になります。

### 4-3. “許可の境界”をコードに焼き込む — 安全な自己診断スクリプト

ホワイトハッカーらしさは、ツールの使い方より**「設計に倫理を埋め込む」**姿勢に出ます。下のPythonは、**自分のlabにしか実行できないよう、宛先を許可リストで構造的に縛った**自己診断スクリプトです。OWASP Secure Headers Project に基づき、最低限あるべきセキュリティヘッダーの有無を確認します。**外部依存ゼロ（標準ライブラリのみ）**で、そのまま動きます。

```python
"""lab_header_check.py — 自分のローカル検証環境にだけ実行する安全確認スクリプト。

設計意図: 許可なき対象への実行を“構造的に”不可能にする。
宛先は 127.0.0.1 / localhost に限定し、外れたら処理を始める前に拒否する。
（"ホワイト"を担保するのは技術ではなく、この"許可の境界"そのもの。）
"""

from __future__ import annotations

import sys
from dataclasses import dataclass
from urllib.error import URLError
from urllib.parse import urlparse
from urllib.request import Request, urlopen

# 許可された検証先（＝自分の管理資産のみ）。ここを緩めることが“無許可テスト”への第一歩。
ALLOWED_HOSTS: frozenset[str] = frozenset({"127.0.0.1", "localhost", "::1"})

# OWASP Secure Headers Project に基づく、最低限あるべき応答ヘッダー。
REQUIRED_HEADERS: tuple[str, ...] = (
    "content-security-policy",
    "strict-transport-security",
    "x-content-type-options",
    "referrer-policy",
)


class UnauthorizedTargetError(RuntimeError):
    """検証先が許可リストにない＝実行してはならない、という不変条件の違反。"""


@dataclass(frozen=True, slots=True)
class CheckResult:
    url: str
    present: tuple[str, ...]
    missing: tuple[str, ...]

    @property
    def ok(self) -> bool:
        return not self.missing


def assert_authorized(url: str) -> None:
    """検証先が自分の管理資産であることを保証する。違えば即座に中断（ガード節）。"""
    host = urlparse(url).hostname or ""
    if host not in ALLOWED_HOSTS:
        raise UnauthorizedTargetError(
            f"拒否: {host!r} は許可された検証先ではありません。"
            " 無許可の対象へのスキャンは不正アクセス禁止法に抵触し得ます。"
        )


def check_headers(url: str, *, timeout: float = 5.0) -> CheckResult:
    assert_authorized(url)  # 何より先に“許可”を検証する
    request = Request(url, method="GET", headers={"User-Agent": "lab-self-check/1.0"})
    with urlopen(request, timeout=timeout) as response:  # 宛先はallowlistで束縛済み
        present_keys = {key.lower() for key in response.headers.keys()}
    present = tuple(h for h in REQUIRED_HEADERS if h in present_keys)
    missing = tuple(h for h in REQUIRED_HEADERS if h not in present_keys)
    return CheckResult(url=url, present=present, missing=missing)


def main(argv: list[str]) -> int:
    if len(argv) != 2:
        print("usage: python lab_header_check.py http://127.0.0.1:3000", file=sys.stderr)
        return 2
    try:
        result = check_headers(argv[1])
    except (URLError, UnauthorizedTargetError) as error:
        print(f"中断: {error}", file=sys.stderr)
        return 1
    for header in result.present:
        print(f"  ok   {header}")
    for header in result.missing:
        print(f"  MISS {header}")
    print("\n判定:", "合格" if result.ok else "要改善（不足ヘッダーあり）")
    return 0 if result.ok else 1


if __name__ == "__main__":
    raise SystemExit(main(sys.argv))
```

```bash
# 自分のlabに対してだけ実行できる。許可外を渡すと“処理を始める前に”拒否される。
python lab_header_check.py http://127.0.0.1:3000   # OK（自分の資産）
python lab_header_check.py https://example.com     # → 中断: 'example.com' は許可された検証先ではありません。
```

この30行に、ホワイトハッカーの思想が凝縮されています。**「許可の確認を、人間の自制心ではなく、コードの不変条件として持つ」**。診断の自動化を進めるほど、この“境界の明文化”が効いてきます。

### 4-4. CTFで“パズルとして”攻撃を学ぶ

実環境を攻撃せずに攻撃技術を磨ける最高の場が **CTF（Capture The Flag）** です。完全に合法で、世界中の人と競えます。初学者の入口はこの順がおすすめです。

- **[picoCTF](https://picoctf.org/)** — 教育用。基礎の基礎から。無料・常設。
- **[TryHackMe](https://tryhackme.com/)** — ガイド付きの学習ルームが豊富。手取り足取り。
- **[Hack The Box](https://www.hackthebox.com/)** — より実戦的。OSCP+の前哨戦として定番。

CTFは「攻撃をパズル化」してくれます。**安全地帯②**の中で、Web・暗号・リバースエンジニアリング・フォレンジックなど、興味の方角を見つけるのにも最適です。

---

## 5. フェーズ3：資格で「独学の実力」を信用に変える

ここで多くの人が誤解します。**資格は「実力の証明」ではなく「他人に実力を伝える共通言語」**です。採用担当や発注者は、あなたのGitHubを精読する時間がありません。資格は、その**信用のショートカット**として効きます。役割で2層に分けて考えます。

### 5-1. 「入口資格」— 基礎を体系化し、土俵に上がる

| 資格 | 提供元 | 位置づけ | 試験の形（公式） | 実務経験 |
|---|---|---|---|---|
| **ISC2 CC**（Certified in Cybersecurity） | [(ISC)²](https://www.isc2.org/certifications/cc) | 世界共通の入門。基礎を一望 | 多肢選択 | **不要**（入門者向け） |
| **CompTIA Security+**（SY0-701） | [CompTIA](https://www.comptia.org/) | 実務基礎の世界標準 | 最大90問・90分（2023年11月開始） | 推奨のみ |
| **情報処理安全確保支援士**（登録セキスペ） | [IPA（国家資格）](https://www.ipa.go.jp/jinzai/riss/index.html) | 国内で最も“効く”公的証明 | 科目A／科目B（2026年度よりCBT化） | **試験は不要** |

未経験者には、まず **ISC2 CC** か **CompTIA Security+** で「広く・正しく」基礎を体系化することを勧めます。どちらも世界中で通用し、求人票で名指しされる定番です。

### 5-2. 日本で働くなら外せない「登録セキスペ」（国家資格）

日本国内では、**情報処理安全確保支援士（登録セキスペ）**が、サイバーセキュリティ分野で唯一の**国家資格**です。入札要件・社内評価・転職で“効く”ため、国内志向なら最優先で狙う価値があります。公式情報を正確に整理します。

- **試験自体に実務経験は不要。** 誰でも受験できます（[IPA公式](https://www.ipa.go.jp/jinzai/riss/touroku/index.html)）。基本情報→応用情報→支援士、と階段を上る人が多い。
- **2026年度から試験はCBT化。** 出題範囲・形式（多肢選択＋記述）・試験時間に変更はなく、科目A／科目B構成。春期相当を「前期試験（2026年11月頃）」、秋期相当を「後期試験（2027年2月頃）」として実施予定（[IPA試験情報](https://www.ipa.go.jp/shiken/2026/ap_koudo_sc_yotei.html)）。
- **合格後、「登録」して初めて“登録セキスペ”を名乗れる。** 登録には**継続学習の義務**が伴い、ここが他資格と一線を画します。

#### 登録後の義務（公式の数字）

| 項目 | 内容（公式） |
|---|---|
| **オンライン講習** | 1年に1回（3年で計3回）。費用は**2万円**／回 |
| **実践講習（IPA／民間）** | 3年に1回 |
| **登録の有効期限** | 登録日／更新日から起算して**3年** |
| **更新申請** | 更新期限の**60日前**まで。所定の講習を全て修了していることが条件 |

つまり、**登録セキスペは「取って終わり」ではなく「学び続ける資格」**として設計されています。出典は[IPA「登録セキスペの講習」](https://www.ipa.go.jp/jinzai/riss/forriss/koushu/index.html)・[更新について](https://www.ipa.go.jp/jinzai/riss/forriss/koushin.html)を必ず最新で確認してください。

### 5-3. 「実戦資格」— 攻める実力を証明する

基礎を固めたら、攻撃の実力を示す資格へ進みます。難易度と“重み”は概ね **CEH ＜ PenTest+ ＜ OSCP+** の順です。

| 資格 | 提供元 | 何を示すか | 試験の形（公式） | 有効期限 |
|---|---|---|---|---|
| **CEH v13** | [EC-Council](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-v13-north-america/) | 攻撃手法の網羅的知識 | 知識試験**125問・4時間**。任意で[CEH Practical](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-practical/)（**実技20課題・6時間**）。両合格で CEH Master | 3年（ECEで更新） |
| **CompTIA PenTest+**（PT0-003） | [CompTIA](https://www.comptia.org/en-us/certifications/pentest/) | 診断の実務スキル | 最大90問・**165分**、合格**750/900**（2024年12月開始・日本語あり） | 3年（CEで更新） |
| **OSCP+**（PEN-200） | [OffSec](https://www.offsec.com/courses/pen-200/) | “侵入を実証する”実戦力（最難関級） | **24時間の実技**。100点満点中**70点で合格** | **3年で失効**（旧OSCPは無期限） |

#### OSCP+ の試験構成（2024年11月の新形式・公式）

ホワイトハッカーの“登竜門”と語られる **OSCP+** は、机上ではなく**24時間ぶっ続けの実技**です。[OffSecの公式](https://help.offsec.com/hc/en-us/articles/360040165632-OSCP-Exam-Guide)に基づく配点はこうです。

- **スタンドアロン3台＝計60点**（1台20点：初期侵入10点＋権限昇格10点）
- **Active Directory セット（3台）＝計40点**（10点＋10点＋20点。ユーザー名/パスワードが与えられ“侵害後”を想定）
- **合計100点中、70点で合格。** 2024年11月1日からの新形式で**ボーナス点は廃止**され、純粋に実技の成績だけで判定。
- **OSCP+ は発行から3年で失効**（旧 OSCP は無期限のまま）。

CEHが「広く網羅」、OSCP+が「狭く深く、実際に侵入できることの証明」。**未経験から最短で“実戦力”を市場に示したいなら、Security+ → PenTest+ → OSCP+ の順**が、コストと難易度のバランスで王道です。なお最上位の管理職・コンサル層を見据えるなら、5年の実務経験を要する **[(ISC)² CISSP](https://www.isc2.org/certifications/cissp/cissp-experience-requirements)** が“天井”として控えています。

### 5-4. 結局どの順で取るべきか（タイプ別の最短ルート）

```text
完全未経験・国内就職重視     基本情報 → 応用情報 → 登録セキスペ（＋ Security+ で世界共通語）
攻撃（ペンテスト）に進みたい  ISC2 CC / Security+ → CEH（知識） → PenTest+ → OSCP+（実戦）
守り（防御・監査）に進みたい  Security+ → 登録セキスペ → （将来）CISSP
学生・若手で“何か一つ”だけ    Security+（世界で通じる・コスパ最良の土台）
```

---

## 6. フェーズ4：実戦と収益化 — “本物の対象”に合法的に触れる

資格と練習を積んだら、いよいよ**安全地帯③**——許可された本物のシステムに触れます。ここが収入とキャリアに直結します。

### 6-1. バグバウンティ — 許可された対象を、報奨付きで調べる

**バグバウンティ**は、企業が「この範囲（スコープ）なら調べてよい、見つけたら報奨を払う」と公開する制度です。代表的なプラットフォームが [HackerOne](https://www.hackerone.com/) と [Bugcrowd](https://www.bugcrowd.com/) です。流れはこうです（[HackerOne公式](https://www.hackerone.com/knowledge-center/why-you-need-responsible-disclosure-and-how-get-started)）。

1. **スコープを精読する** — 対象ドメイン・許可されたテスト手法・**禁止事項（DoS・ソーシャルエンジニアリング・自動化スキャンの可否）**を必ず守る。スコープ外は安全地帯ではない＝犯罪になり得る。
2. **発見** — スコープ内で脆弱性を探す。
3. **報告** — 再現手順を添えて、プラットフォーム経由で安全に報告する。
4. **検証・修正** — 企業が確認し、修正する。
5. **報奨・開示** — 深刻度に応じた報奨。公表は企業と**合意の上で**（無断公表はしない）。

> **safe harbor（セーフハーバー）に注意：** 多くのプログラムは「スコープとルールを守る限り法的措置を取らない」と明記します。**この一文がない/スコープ外の行為は、不正アクセス禁止法の保護を受けません。** 「報奨が欲しい」より先に「ルールを守れているか」を確認するのが、ホワイトの最低条件です。

### 6-2. 日本で“報奨プログラムのない相手”に脆弱性を見つけたら

「たまたま使っていた日本のサービスに脆弱性を見つけた。でもバグバウンティはやっていない」——このとき**勝手に深掘りも公表もしてはいけません**。日本には正式な窓口があります。

- **脆弱性関連情報の届出制度（情報セキュリティ早期警戒パートナーシップ）** — [IPAが届出を受け付け](https://www.ipa.go.jp/security/vuln/report/)、[JPCERT/CC](https://www.jpcert.or.jp/)が開発者との調整を担う、国が整備した正規ルート。製品の脆弱性もWebサイトの脆弱性も、ここに匿名でも届け出られます。
- **企業の `security.txt` を探す** — [RFC 9116](https://www.rfc-editor.org/rfc/rfc9116) で標準化された、脆弱性の通報窓口を機械可読で示すファイル。`https://example.com/.well-known/security.txt` を確認し、`Contact:` 宛に静かに報告します。

ホワイトハッカーとして“受ける側”に回るなら、自社サイトにこれを置くのが作法です。**通報窓口を明示すること自体が、善意の報告者を守り、攻撃者より先に脆弱性を回収する**仕組みになります。

```text
# /.well-known/security.txt — RFC 9116。脆弱性の通報窓口を機械可読で明示する。
Contact: mailto:security@example.com
Expires: 2027-06-30T00:00:00.000Z
Preferred-Languages: ja, en
Canonical: https://example.com/.well-known/security.txt
Policy: https://example.com/security-policy
```

### 6-3. 伝わる脆弱性レポートの型

技術力と同じくらい、**「修正する開発者に伝わる報告書」**が評価を分けます。読み手は多忙です。**結論から・再現可能に・破壊せずに**。以下はそのまま使えるテンプレートです。

```markdown
## 概要（Summary）
<!-- 1〜2文で「何が・どう危険か」を結論から。例: 注文APIに認可不備があり、
     他人の注文を ID 改変だけで閲覧できる（IDOR / A01:2025）。 -->

## 深刻度（Severity）
CVSS 4.0 ベクタ: AV:N/AC:L/AT:N/PR:L/UI:N/...   （自己評価。最終判定はベンダー）

## 再現手順（Steps to Reproduce）
1. 一般ユーザーでログインする
2. GET /api/orders/1001 を GET /api/orders/1000 に変える
3. 他人の注文情報が返ることを確認する

## 影響（Impact）
<!-- 攻撃者が何を達成できるか。情報漏えい/改ざん/乗っ取り 等を具体的に。 -->

## 想定される修正（Suggested Fix）
<!-- 任意だが歓迎される。例: サーバ側で「注文の所有者 == ログインユーザー」を必ず検証する。 -->

## 証跡（Proof of Concept）
<!-- リクエスト例やスクショ。実データは最小限・マスキング。破壊的操作はしない。 -->
```

ここで扱った **IDOR（A01:2025 アクセス制御の不備）** は、ホワイトハッカーが最も多く見つけ、かつ**ツールが自動では見抜けない**典型です。その理由と検出の考え方は [Next.js × Supabase の認可不備・IDOR検出](/blog/nextjs-supabase-idor-broken-authorization-rls-detection-guide) に詳しくまとめています。

---

## 7. 「自分で学ぶ」か「プロに任せる」か — 案件としての視点

ここまで読んで、現実が見えてきたはずです。**ホワイトハッカーの実力は一朝一夕では身につきません。** 土台に1〜2年、実戦力に2〜4年。これは、**学ぶ価値が非常に高い**ことの裏返しでもあります。

一方で、立場によっては答えが変わります。**「自社のSaaSを、リリース前に一度きちんと見てほしい」**——この目的なら、自分が数年かけてホワイトハッカーになるより、**今すでに実力のある人間に診てもらう**ほうが、速く・安く・確実です。判断軸はシンプルです。

| あなたの状況 | 最適な選択 |
|---|---|
| キャリアとして攻撃/防御の専門家になりたい | **本記事のロードマップで“なる”**。時間が最大の投資 |
| まず無料で自分のアプリの“水平の穴”を一掃したい | **OSSツールで自動化**（[ZAP・SAST のやり方](/blog/web-application-vulnerability-assessment-owasp-zap-sast-dast-guide)） |
| リリース前・RFP・コンプラ対応で“設計の穴”まで保証したい | **専門家の監査**（自動化では届かない認可/RLS/業務ロジック） |

最後の行——**認可・RLS・テナント分離・業務ロジック**——は、どれだけツールを回しても**「事業ルールの意味」を理解した人間にしか正しさを判定できない“垂直のリスク”**です。ここがホワイトハッカー（特に監査）の最も価値が高い領域であり、同時に、**急いで保証が要るなら外部に頼むのが合理的**な領域でもあります。その境界線は [セキュリティ監査は何を見るのか](/blog/nextjs-supabase-security-audit-scope-when-needed-guide) で正直に引いています。

---

## 8. よくある質問（FAQ）

**Q. 文系・未経験でもホワイトハッカーになれますか？**
A. なれます。重要なのは学歴より「論理的に粘る力」と「合法的に手を動かし続ける習慣」です。ISC2 CC や Security+ は未経験者向けに設計されており、実務経験を問いません。

**Q. 独学だけで可能ですか？**
A. 可能です。本記事の安全地帯（自分のlab・CTF・正式なバグバウンティ）はすべて独学で完結します。ただし「正しい順序」と「法律の線引き」を外すと遠回り・危険になるため、最初に第0章を体に入れてください。

**Q. どのくらい期間がかかりますか？**
A. 目安は、入口レベルまで本気で1〜2年、OSCP+級の実戦力まで2〜4年。才能ではなく“安全地帯で手を動かした累積時間”で決まります。

**Q. 海外資格（CEH/OSCP）と国家資格（登録セキスペ）、どちらを取るべき？**
A. 目的次第です。国内就職・入札・公的評価を重視するなら**登録セキスペ**、攻撃の実戦力をグローバルに示すなら**OSCP+**。両立も普通で、矛盾しません。

**Q. 学習中に誤って違法行為をしてしまわないか不安です。**
A. 「自分の資産・CTF・許可されたスコープ」の3つの外に出ない限り、合法です。逆にこの3つの外なら、被害がなくても違法になり得ます。判断に迷ったら**やらない**が常に正解です。

**Q. AIに仕事を奪われませんか？**
A. むしろ逆です。生成AIは偵察やコード読解を速くしますが、「これは脆弱性か仕様か」「許可された行為か」を判断するのは人間です。AIが量産するコードの脆弱性検出は、これから需要が伸びる領域です。

---

## 9. まとめ — 次の一歩

ホワイトハッカーへの道は、派手な攻撃テクニックから始まりません。**「許可」という一線**から始まります。

- **第0章（法律と倫理）を最初に体に入れる。** 不正アクセス禁止法・ウイルス罪・3つの安全地帯。技術より先。
- **手を動かした量がそのまま実力。** Dockerで脆弱なlabを立て（公開しない）、CTFで攻撃をパズル化し、自己診断スクリプトに“許可の境界”を焼き込む。
- **資格は実力を信用に変える共通言語。** 入口（CC / Security+ / 登録セキスペ）→ 実戦（CEH → PenTest+ → OSCP+）。公式の最新仕様で固定する。
- **収益化は安全地帯③で。** バグバウンティ（HackerOne / Bugcrowd）と、日本の脆弱性届出制度（IPA / JPCERT）。発見の出口は常に“修正と合意”であって“公表と自慢”ではない。

そして最後に、立場によっては答えが変わることを忘れないでください。**自分がホワイトハッカーになる**のも、**今すでにそうである人間に任せる**のも、どちらも正しい選択です。あなたのアプリが本番リリースを控えているなら、まず無料のOSSで“水平の穴”を一掃し、設計でしか守れない“垂直のリスク”だけを専門家に回す——それが、最もコスト効率の良い守り方です。

---

### 参考（公式一次情報）

- 法律：[不正アクセス行為の禁止等に関する法律（e-Gov）](https://laws.e-gov.go.jp/law/411AC0000000128/)／[警察庁 サイバー犯罪対策 法令等](https://www.npa.go.jp/cyber/legislation/index.html)／[刑法（ウイルス罪・e-Gov）](https://laws.e-gov.go.jp/law/140AC0000000045/)
- 標準：[OWASP Top 10:2025](https://owasp.org/Top10/2025/)／[OWASP Juice Shop](https://owasp.org/www-project-juice-shop/)／[OWASP ZAP](https://www.zaproxy.org/)／[RFC 9116（security.txt）](https://www.rfc-editor.org/rfc/rfc9116)
- 資格：[EC-Council CEH v13](https://www.eccouncil.org/train-certify/certified-ethical-hacker-ceh-v13-north-america/)／[OffSec PEN-200（OSCP+）](https://www.offsec.com/courses/pen-200/)／[CompTIA Security+ / PenTest+](https://www.comptia.org/)／[(ISC)² CC / CISSP](https://www.isc2.org/certifications)／[IPA 情報処理安全確保支援士（登録セキスペ）](https://www.ipa.go.jp/jinzai/riss/index.html)
- 報告：[HackerOne](https://www.hackerone.com/)／[Bugcrowd](https://www.bugcrowd.com/)／[IPA 脆弱性関連情報の届出](https://www.ipa.go.jp/security/vuln/report/)／[JPCERT/CC](https://www.jpcert.or.jp/)