こんにちは。Webアプリケーショングループのたけむらです。
このたび、2026年1月に BSCP(Burp Suite Certified Practitioner) に合格しました。
BSCPはWebセキュリティ分野の実践的な資格です。これから受験を考えている方の参考になればと思い、勉強法や試験当日のコツをまとめます。
BSCPとは?
BSCP(Burp Suite Certified Practitioner)は、Webセキュリティ診断ツール「Burp Suite」の開発元である PortSwigger社 が提供する公式認定資格です。
Webアプリケーションの脆弱性に関する知識と、それを検出・攻撃するための実践的スキル、そしてBurp Suite Professionalの操作能力を証明する資格とされています。
試験の概要
| 項目 | 内容 |
|---|---|
| 試験形式 | 実技試験(プロクター監視あり) |
| 試験時間 | 4時間 |
| 出題内容 | 2つのWebアプリに対し、各3段階(計6つ)の脆弱性を攻略 |
| 合格条件 | 6つすべての脆弱性を攻略すること(部分点なし) |
| 受験費用 | $99 USD |
| 必要なもの | Burp Suite Professionalのライセンス |
| 政府発行の写真付き身分証明書の画像データ | |
| Webカメラ | |
| マイク (PC内蔵可) | |
| Chromeブラウザ (プロクターソフトウェア対応のため) | |
| 受験形態 | オープンブック |
BSCPの最大の特徴は、ブラックボックス試験であることです。つまり、バックエンドのソースコードは与えられず、実際の攻撃者と同じような視点でWebアプリの脆弱性を見つける必要があります。
また、試験時間は他のセキュリティ系資格に比べるとかなり短めなため、時間をかけて複雑なエクスプロイトを構築する能力よりも、素早く脆弱性を検出し、攻撃につなげる能力が問われます。
試験中の検索や資料閲覧は禁止されていない、いわゆるオープンブック試験です。Burp Suiteのあらゆる機能はもちろん、外部ツールも使用可能です。唯一禁止されているのは、他者に助けを求めることです。試験中は画面録画、Webカメラとマイクで監視を受けますが、試験官とコミュニケーションを取る場面はありません。
なお、試験ルールはあくまで2026年1月時点のものです。変更が加えられる可能性がありますので、受験の際にはご自分でよく確認してください。不安な点はPortSwigger公式に確認を取ることを推奨します。
試験の3ステージ構成
各アプリケーションで以下の3段階を順番にクリアする必要があります。
- Stage 1(Foothold):一般ユーザーアカウントへのアクセスを取得する
- Stage 2(Privilege Escalation):管理者権限への昇格または管理者アカウントの奪取を行う
- Stage 3(Data Exfiltration):サーバー上の機密ファイルにアクセスする
各ステージで出題される脆弱性はランダムに選ばれるため、Webの幅広い知識が求められます。XSS、SQLインジェクション、CSRF、SSRF、OSコマンドインジェクション、HTTPリクエストスマグリング、SSTIなど、Web Security Academyで扱われるあらゆるトピックが出題範囲です。
Stage 3では、機密ファイルの中身の値を送信する必要がありますので、ファイルが読めたことに満足して忘れないようにしましょう。
おすすめの勉強法
1. PortSwigger Web Security Academyをやり込む
BSCPの学習リソースとして最も重要なのが、PortSwiggerが提供している Web Security Academy です。300以上のラボが用意されており、Apprentice・Practitioner・Expertの3段階に分かれています。
これらのラボに取り組む際に重要なのは、「どうやって検出するか」を常に念頭に置くことです。
普通にラボをやっていると、ラボのタイトルでどんな脆弱性を狙うのかわかってしまうし、ラボの説明にはどこに脆弱性があるかまで書いてあることが多いです。BSCPでは、見つけた脆弱性を利用して攻撃を成功させることよりも、脆弱性を検出するまでの難易度の方が高いため、それぞれのラボの脆弱性に対して、何を手がかりにして見つけられるか をまとめておくのが良いです。わかりやすいものでいうと、WebキャッシュポイズニングやWebキャッシュディセプションではキャッシュが利用されていること自体がヒントになりますし、検索バーがあればSQLインジェクションやReflected XSSが狙えそうだと考えることができます。
と言っても、問題になるのはそうしたわかりやすい手がかりがないものです。そこで、手がかりが見当たらないときに何を試すべきかということまで考えておきましょう。例えばHTTPリクエストスマグリングや、HTTPヘッダインジェクションなどは、わかりやすいパラメータやコードが転がっているわけではありません。機能から推測しても刺さらないし、ファジングにも引っかからないし、パラメータに端からIntruderをまわしても何も成果が出ないといった、うまくいかない時の対処法を固めておくことが重要です。
2. Mystery Labに固執しすぎない
Web Security Academyには Mystery Lab という機能があり、脆弱性の種類が伏せられた状態でランダムにラボが出題されます。本番の試験では事前にどの脆弱性が出るかわからないため、このMystery Labでの練習が非常に効果的に思えます。
もちろん、「何の脆弱性かわからない状態から調査を始めて、攻略する」という一連の流れを繰り返すことで、本番での対応力をあげる練習にはなります。しかしながら、Mystery Labで出題されるラボは限定的で偏っているという欠点もあります。そのため、Mystery Labでやることにこだわらず、幅広くラボをまわすことをおすすめします。
3. Practice Examや事前情報と同じ難易度と思わない
ITの世界はただでさえ進歩がはやいですが、昨今はLLMの進歩によって大きく環境が変わっています。Burp SuiteにもBurp AIが標準搭載され、これを試験中に使うことも禁止されていません。
裏を返せば、AIを使っても簡単に解けないような難易度に調整されている可能性が高いということです。試験のネタバレができない都合上、言えることは限られていますが、古い情報をうのみにして試験難易度を低く見積もると、足をすくわれるかもしれません。
4. あらゆるツールを活用する
Burp SuiteにはActive Scanのような強力な標準機能はもちろん、豊富なExtensionが存在します。これらを活用することで大幅に検出速度を高められるので、手動検出にこだわらず、自動的に検出できるものは自動検出しましょう。とくにScannerに関しては、わざわざ必須ラボにSelected scanの利用を促すものがあるくらいですから、使う前提と思ったほうが良いです。
またラボをやっている中で手順が面倒だと思ったら、スクリプトや自作Extensionを書いてしまうのも手です。LLMによって開発にかかる労力は低下していますし、事前に役に立つツールを作っておけば、試験中に楽ができる可能性があります。なお、PortSwiggerの規約によりBSCP用の他受験者を助けるツールの配布は禁止されていますので、公開しないように注意しましょう。
もちろん、ツールに頼りすぎてペイロードの意味を全く理解していないというような状態だと、少しひねった問題を出されただけで詰んでしまいます。ですから理解は重要ですが、ペイロードを暗記するようなこだわり方をする必要はなく、情報を素早く引き出したり、ツールを使いこなせることも実力と考えましょう。
5. 柔軟性のある強力なフローを構築しておく
思わぬ見落としや、焦りによるミスを防ぐためには、事前にフローを構築しておくと良いです。つまり、最初に観点Aから探して、次は観点Bというふうに、流れを決めておくわけです。
最初に自分が良いと思うフローを作ったら、それでラボに取り組んでみて、「今のフローでこの脆弱性を検出できたのか。できなかったならば何が足りなかったのか」というふうに問うようにしましょう。この考え方はBSCPのみにとどまらず、検出力を上げていくために重要な考え方と思います。
一方で、細かいフローに執着し、考えずに固定手順をまわして、決まったペイロードを投げるだけになってしまうと、時間配分の優先度がつけられずに失敗してしまいます。最初は浅く広くみて露骨な脆弱性の見落としがないようにして、その上で怪しい場所を特定して深堀りできるようにしましょう。
試験当日のコツ
飲み物を用意しておく。 4時間で2アプリ・6脆弱性は時間的に余裕がない可能性が高いですし、監視されるためむやみに動き回るわけにもいきません。そのため、飲み物を手の届く位置に用意しておくことをおすすめします。私はりんごジュース2パックを用意して臨みました🍎
詰まったらスキャンを回しつつほかを見る。 6問中1問も落とせないので詰まると焦りがちかもしれませんが、手詰まりと感じたら、何らかのスキャンをまわしながら他の観点を考えたり、もう片方のアプリを見ると、時間のロスをおさえられます。
素直に考えてみる。 ハッカーとしてはいかに想定外を行くか、罠を回避して出し抜くかみたいな思考法は重要かもしれません。しかしながら、BSCPは意図的に意地悪したり、理不尽にした試験ではありません。公式にも明言されている通り、Stage 3の機密ファイルのパスは固定されていて運任せに推測するような必要はありませんし、意図的に配置されたダミーはないと思われます。
Burpプロジェクトファイルの保存を忘れない。 試験終了後、Burpのプロジェクトファイル(ZIP形式)をPortSwiggerに提出する必要があります。提出しないと6問解ききっても合格と認められない可能性が高いので、必ず保存するようにしましょう。
Q&A
BSCPの結果はいつ届く?
PortSwiggerは3〜5営業日以内に結果が届くとしています。私の場合は朝10時ごろから受験し、その日の夕方17時すぎにはメールで合格通知が届きました。6問を解ききれなかった場合は試験終了時点で不合格の判定となりますので、落ちた瞬間に結果がわかります。
英語力はどのくらい必要?
レポートを書く必要はないため、説明文の英語が理解できれば問題ありません。PortSwigger Academyで既に英語で勉強していた、または翻訳ツールを駆使して学習してきた方であれば、困ることはないでしょう。
試験中にLLM (AI)は使える?
ChatGPTやGeminiなどのLLMを使用禁止とするルールは公式に確認できません。Burp Suiteに標準搭載されているBurp AI自体がLLMを利用していますので、LLMが禁止となると自社プロダクトの機能を制限することになり、禁止とはしないと思います。
ただ、Claude Code + Burp MCPサーバーのような構成で完全自動化してまわすといった運用まで許可されているかは定かではありません。明確に禁止していない以上、使ったせいで落ちるということはないと思われますが、ルールが変更される可能性もありますので、使用したい場合はPortSwiggerに確認すると確実です。
おわりに
BSCPはWebのブラックボックス環境における検出・攻撃能力が求められる、実践力を問われる試験です。また、Burp SuiteのProライセンスが前提になってはいますが、セキュリティ資格の中では$99と比較的安価かつ短時間で気軽に受けられる試験でもあります。
($99も決して安くないですが… CDIでは社内の教育補助制度により、各資格試験1回分の受験費用を会社が負担してくれます😎)
PortSwigger Web Security Academyの教材をしっかりやれば合格に必要な知識はカバーできるので、Webセキュリティに興味のある方は、まずはAcademyのラボから始めてみてはいかがでしょうか。一部のラボはBurp Collaboratorが必要ですが、無料のCommunity Editionで取り組めるラボも多くあります。
※Burp Collaborator:ターゲットから外部通信が発生したかを確認するための、PortSwigger提供のOOB受信サーバー。Burp Suite Proでのみ利用可。
この記事がBSCP受験を検討している方や、これからWebセキュリティを学び始める方の参考になれば幸いです。