oscp資格の難易度と市場価値！ホワイトハッカーへの道を開く試験対策と学習時間

「OSCPに挑戦したいけれど、本当に自分にできるのか不安で動けない」。

このご相談、最近とても増えています。セキュリティ業界でキャリアを伸ばしたい方、フリーランスとして単価を上げたい方、副業でペネトレーションテストの仕事を受けたい方。それぞれ立場は違うのですが、「難易度が世界レベルって聞いて、足がすくむ」という気持ちはみなさん共通しています。

大丈夫ですよ。あなたは一人ではありません。OSCPは確かに難関ですが、適切な学習計画と心の準備があれば、社会人でも合格できる資格です。今日は「oscp 資格」の難易度、学習時間、費用、そして取得後の市場価値まで、客観的なデータと現場の声をもとに、できるだけ柔らかい言葉でお話しします。読み終わるころには、「私にも道筋が見える」と感じていただけるはずです。

OSCP資格とは？ホワイトハッカー登竜門としての現在地

OSCP（Offensive Security Certified Professional）は、米国Offensive Security社が認定する、ペネトレーションテスト（侵入テスト）の実技資格です。日本語では「攻撃的セキュリティ認定プロフェッショナル」と呼ばれることもありますが、業界ではほぼ「OSCP」とだけ呼ばれています。

特徴は、知識を問う筆記試験ではなく、24時間ぶっ通しで実際のサーバーに侵入する実技試験であること。攻撃手法を「知っている」だけでは絶対に合格できません。「手を動かして、本当に侵入できる」ことが求められます。

このご相談、よくお聞きします。「情報処理安全確保支援士は持っているのですが、それでもOSCPは難しいですか？」。答えはYesです。日本の情報処理安全確保支援士、CISSP、CompTIA Security+などはどれも素晴らしい資格ですが、性質が違います。前者が「守る側の体系的な知識」を測るのに対し、OSCPは「攻める側の実技力」を測ります。ですから、たとえ国家資格を複数お持ちの方でも、OSCPの初挑戦では同じスタートラインに立つことが珍しくないのです。

現在、世界のセキュリティ業界では、OSCPは「ペネトレーションテスター職に応募する際の事実上の前提条件」になりつつあります。米国の求人サイトIndeedや日本のAI・マーケティング・セキュリティのお仕事ジャンルの求人を見ても、ペンテスター職ではOSCP保持者を優遇するケースが増えています。背景には、サイバー攻撃の年間被害額が世界で数兆ドル規模に達し、企業が自社のシステムを能動的に守る必要に迫られている現実があります。

2024年からは「OSCP+」という新形式が導入され、Active Directory（AD）環境の侵入が必須化されました。よりリアルな企業ネットワークを想定した内容に進化しています。これから受験する方は、ほぼ全員がOSCP+を受けることになります。本記事でも、特に断りがない限り「OSCP」は新形式の「OSCP+」を含めて指します。

OSCP資格の難易度はどのくらい？合格率と挫折率の現実

「結局、難易度ってどのくらいなんですか？」とよく聞かれます。数字で見てみましょう。

Offensive Security社は公式な合格率を公表していませんが、業界の体験記や複数のコミュニティ調査をもとにすると、初回合格率は30%前後と推測されています。つまり10人受けたら7人が落ちる、という世界です。日本の国家資格である情報処理安全確保支援士の合格率が約20%前後ですから、合格率の数字だけ見るとOSCPのほうがやや高めにも見えます。

ただし、これは罠です。OSCPを受験する人は、すでに「ある程度のセキュリティ知識を持ち、PEN-200という有料トレーニングを完走した人」だけ。母集団のレベルが圧倒的に高いのです。「セキュリティに少し興味がある程度」で挑戦すると、ほぼ間違いなく挫折します。

挫折ポイントは、大きく分けて3つあります。

1つ目は「実技で手が止まる」。座学だけしてきた人がぶつかる壁です。「nmapでポートをスキャンする」「Burp Suiteでリクエストを書き換える」「PowerShellでスクリプトを動かす」——こうした基本動作が体に染み込んでいないと、試験時間内に何もできずに終わります。

2つ目は「英語で読み解けない」。Offensive Securityのトレーニング教材、試験問題、ヒントはすべて英語です。技術書を英語で読む習慣がない方は、最初の1ヶ月で疲弊しがちです。

3つ目は「時間管理ができない」。試験は24時間連続。途中で仮眠を取らないと脳が機能しなくなりますが、若い受験者ほど「眠るのがもったいない」と無理をして失敗します。

前提知識がないからといって、そこまで焦る必要はないと思います。必要な技術や知識はトレーニング教材で得られるようになっていると感じました。私は平日は4時間、土日などの休日は終日学習に費やしました。

この合格者の声、すごく救いになりますよね。「前提知識ゼロでも諦めなくていい」というメッセージです。ただし、「平日4時間、休日終日」という時間投資はリアルな数字。これを覚悟できるかが、難易度を「越えられる壁」にするか「乗り越えられない壁」にするかの分かれ目になります。

OSCP取得に必要な学習時間と費用の目安

「学習にどれくらい時間がかかりますか？」「お金はいくら必要ですか？」。お金と時間の見通しは、最初に立てておきたいですよね。

学習時間の目安

複数の合格体験記を集計すると、合格者の総学習時間は次のような分布です。

受験者のバックグラウンド	必要学習時間の目安
セキュリティ業務3年以上の現役エンジニア	300〜500時間
インフラ・開発系エンジニア（セキュリティ未経験）	600〜800時間
学生・別業界からの挑戦者	1,000時間以上

平日に2時間、休日に8時間学習した場合、週あたり26時間。これを24週続けると、約600時間に到達します。つまり半年は本気で取り組む覚悟が必要です。

ここで私から1つ、心理学の話を。人間は「半年先のゴール」よりも「今週のゴール」のほうが動きやすい生き物です。半年計画を立てたあと、すぐに週単位のチェックポイントへ落とし込んでください。「今週はBuffer Overflowを理解する」「次週はWeb系の脆弱性を5つ実践する」というように、小さく区切ると挫折しにくくなります。

費用の目安

OSCPの費用は、選ぶプランによって幅があります。

プラン	内容	費用（USD）
Learn Fundamentals（PEN-200含む）	90日トレーニング + 1回受験	約1,749ドル
Learn One	1年間のラボ + 2回受験	約2,599ドル
Learn Unlimited	全コース受け放題 + 受験回数無制限	約5,499ドル
試験再受験のみ	1回追加	約249ドル

為替を1ドル150円で換算すると、Learn Fundamentalsで約26万円、Learn Oneで約39万円です。決して安くはありませんね。

「私には高すぎるかも」と感じた方へ。会社員の方は、勤務先に資格取得支援制度があるか必ず確認してください。セキュリティ人材は国を挙げて足りないと言われている分野ですから、会社の経費で受験させてもらえるケースは増えています。フリーランスの方は、専門書籍と合わせて「研修費」として経費計上できます。確定申告については、税務上の取り扱いを国税庁の公式情報で確認すると安心です（参考: 国税庁）。

OSCP試験の内容と当日のフロー

実際の試験はどんな流れで進むのか、整理しておきましょう。心の準備ができていると、当日の緊張がぐっと和らぎます。

試験形式の全体像

OSCP+の試験は、以下のような構成です。

• 試験時間: 23時間45分（実質24時間）+ レポート提出24時間
• 合格点: 100点満点中70点以上
• 構成: Active Directory（AD）セット40点 + スタンドアロン3台（各20点、計60点）
• AD必須化: ADセットで一定点を取らないと不合格

特に厳しいのが、ADセットの存在感です。40点もある上に、これを落とすと他で挽回しづらい。逆にここを完答できれば、スタンドアロン1台落としても合格圏に届きます。試験対策の重心は、間違いなくAD侵入に置くべきです。

試験当日のリアル

合格者と不合格者、両方の声を見ると、当日のリアルが見えてきます。

朝10時に試験を開始しました。まずADセットに取り組みましたが、初期アクセスの糸口が全く見つからず、8時間以上を無駄に過ごしました。さすがにまずいと感じ、スタンドアロンに移行しました。スタンドアロンAではいくつかの手がかりを見つけたものの、活用方法が分からず侵入できませんでした。開始12時間で得点はゼロとなり、絶望感に襲われました。

この体験談を読むと、胸がぎゅっとなりますよね。実は私も別ジャンルの資格試験で似た経験があります。試験開始から数時間、何も成果が出ないと「自分は向いていない」「人生終わった」とまで思ってしまう。これは脳が極度のストレス下で起こす「破局思考」と呼ばれる現象で、誰にでも起こります。

対策はシンプルで、「試験中の自分にかける言葉」を事前に決めておくこと。「あと12時間ある」「1台でも侵入できれば合格圏」「今、深呼吸する」。こうした言葉を紙に書いて貼っておくと、本番で本当に救われます。

合格者が必ずやっている時間配分

体験記を分析すると、合格者には共通の時間配分パターンがあります。

• 開始〜2時間: 全マシンの偵察（ポートスキャン、サービス確認）
• 2〜10時間: 着手しやすそうな1台に集中
• 10〜14時間: 仮眠（必須）
• 14〜20時間: 残りのマシンを順番に
• 20〜23時間: スクリーンショットとメモの整理
• 23〜23時間45分: 提出準備

ポイントは「仮眠を取る」と決めてしまうこと。徹夜で詰めると、後半の判断力が完全に落ちます。ある合格者は「眠った後にあっさり侵入経路を見つけた」とおっしゃっていました。これは脳科学的にも理にかなっていて、睡眠中に脳は問題を整理・再構成する働きを持っています。

OSCP対策に効くツールとスキル

OSCPで使うツール群と、押さえておくべきスキルを整理します。「これを全部覚えるのか」と圧倒されるかもしれませんが、大丈夫。実は「よく使うもの」と「念のため知っておくもの」に分かれます。

必修ツール（毎日触る）

ツール	用途	重要度
nmap	ポートスキャンとサービス特定	必修
Burp Suite	Webアプリケーションの脆弱性検査	必修
Metasploit	エクスプロイト実行（試験では制限あり）	必修
BloodHound	Active Directory分析	必修
Impacket	Windows系プロトコル攻撃	必修
CrackMapExec / NetExec	AD内の横展開	必修

補助ツール（場面に応じて）

• Hydra / John the Ripper / Hashcat（パスワード解析）
• LinPEAS / WinPEAS（権限昇格の調査）
• ffuf / Gobuster（ディレクトリ列挙）
• Mimikatz（Windows資格情報取得）

ツールよりも大切なのが、基礎スキルです。

1. Linuxコマンドライン操作: bash操作、ファイル権限、プロセス管理
2. Windowsの権限とAD構造の理解: ドメイン、フォレスト、GPO、Kerberos認証
3. ネットワークプロトコル: SMB、LDAP、Kerberos、HTTP/HTTPS、DNS
4. スクリプト言語: Python（必須）、PowerShell、Bashの基本
5. Webセキュリティ: SQLインジェクション、XSS、ファイルアップロード、SSRF

ソフトウェア作成者の年収・単価相場を見ると、セキュリティ領域に強いソフトウェアエンジニアの単価は、Web開発のみのエンジニアと比べて1.3〜1.5倍になる傾向があります。これらの基礎スキルはOSCP対策のためだけでなく、フリーランス単価を底上げする投資にもなります。

OSCPの市場価値とキャリア活用法

「資格を取ったら、本当に仕事に活きますか？」というご質問。これは多くの方が一番気にされるポイントです。

国内のセキュリティ人材需給

経済産業省の試算によると、2030年には国内のIT人材が最大79万人不足すると言われています。中でもセキュリティ人材の不足は深刻で、企業がペネトレーションテストを内製化したくても、人材が見つからないというのが現状です（参考: 経済産業省）。

この需給ギャップが、OSCP保持者の市場価値を引き上げています。実際、ペネトレーションテスター職の求人を見ると、年収レンジは次のような傾向です。

経験	年収レンジの目安
未経験〜2年目（OSCP未保持）	400〜550万円
OSCP保持 + 実務2〜4年	700〜900万円
OSCP保持 + 実務5年以上 + リードクラス	1,000〜1,500万円

フリーランス・副業としての活用

• Webサービスの脆弱性診断（単発）: 1案件20〜80万円
• 継続的ペンテスト（月次契約）: 月30〜80万円
• CTF出題者・トレーニング講師: スポット5〜30万円
• セキュリティブログ・記事執筆: 1記事3万〜10万円

ただし、ここで大切なお話があります。セキュリティ案件は「結果責任」が大きい仕事です。診断漏れがあったら大問題になります。最初から大型案件を狙うのではなく、まずは家庭教師・受験・資格サポートのお仕事ジャンルでOSCP学習者向けのチューターとして実績を積んだり、技術記事の執筆から入るのもおすすめです。書く仕事については著述家，記者，編集者の年収・単価相場も参考になります。

関連資格との組み合わせ戦略

OSCPだけで戦うのではなく、他の資格と組み合わせると守備範囲が広がります。

• OSCP × CISSP: 攻める力と守る経営視点。CISO候補に。
• OSCP × 情報処理安全確保支援士: 国内SIerでの提案・営業に強い。
• OSCP × クラウド資格（AWS/Azure）: クラウド時代のペンテスター。
• OSCP × E資格（JDLA ディープラーニング エンジニア）: AI×セキュリティの新領域。
• OSCP × Googleアナリティクス認定資格: マーケ系企業のセキュリティ担当に。

特にAI×セキュリティ領域は、これから5年で需要が爆発する可能性が高いです。LLM（大規模言語モデル）への攻撃手法（プロンプトインジェクションなど）はOSCPの伝統的な範囲には含まれませんが、これらを学ぶ素地としてOSCPは最適です。

学習を続けるためのメンタル戦略

ここまで技術的な話をしてきましたが、私の本職はメンタルケアです。OSCPに挑戦する半年〜1年の間、心を折れずに走り続ける方法をお話しさせてください。

「学習仲間」を必ず作る

OSCP学習者の挫折理由で一番多いのは、技術的な壁ではなく「孤独」です。

フリーランスになって、急に人と話さなくなった。

このお悩み、本当に多いんです。OSCP学習も同じ構造です。家で一人、英語の教材と向き合い、PCにエラーが返ってくる毎日。これは特別なことではなく、難関資格学習者の7割以上が経験する状態です。

対策は「対話」。Discordの日本語OSCP学習コミュニティ、X（旧Twitter）の学習垢、勤務先の社内勉強会、何でもいいので「進捗を報告する場」を必ず作ってください。私がカウンセリングで実際にお伝えしているのは、「週に1回、誰かに3分だけ近況を話す」というルールです。たったこれだけで、孤独感は半分以下になります。

「捨てる勇気」を持つ

OSCP学習中の方からよくいただく相談に、「全部の範囲を完璧にしないと不安です」というものがあります。気持ちはとてもよく分かります。でも、OSCPは満点を取る試験ではなく、70点を取る試験です。

実例として、ある合格者の方は、Buffer Overflow（バイナリ系の攻撃）を試験形式が変わって不要になったタイミングでスパッと切り捨て、ADとWeb系に全集中して合格されました。逆に「全部やる」と決めて頑張った別の方は、半年延長して受験料を追加で支払うことになりました。

完璧主義は、学習の毒になることがあります。何を捨てるか先に決めると、何を学ぶかが明確になります。

試験前日の「不安発作」への対処

これは私のもとへ毎月のように来るご相談です。「明日試験なのに、もう何も覚えていない気がして眠れません」。

大丈夫です。それは「試験前夜あるある」の典型で、脳が緊張モードに入っているサインに過ぎません。実際には、あなたの脳はちゃんと覚えています。

対処法を3つだけお伝えします。

1. 試験前夜は復習を一切しない。資料を全部閉じる。
2. 入浴後にぬるめのハーブティーを1杯。
3. スマホを別の部屋に置いて寝る。

「眠れない」と気にすると余計に眠れなくなる悪循環があります。「眠れなくても横になって目を閉じれば、脳は休まる」と自分に言い聞かせてください。これは認知行動療法でも使われる技法です。

不合格でも自分を責めない

OSCPは初回30%しか合格しない試験です。つまり、不合格だった方も、世界中にたくさんいらっしゃるということ。「自分はダメだ」と感じる必要はまったくありません。

オンラインカウンセラー副業の始め方｜資格・収入・集客方法を解説【2026年版】でも触れていますが、不合格体験は次の合格に向けた「データ」です。「ADで時間を使いすぎた」「Webの権限昇格で詰まった」と具体的に振り返れば、次回の戦略が明確になります。

筆者がカウンセリングで何度も見てきた風景があります。1回目に落ちて泣きながら相談に来られた方が、半年後にケロッとした顔で合格報告に来てくださる。そういう方には共通点があって、それは「次回までに何を変えるか」を翌週には言語化していることです。落ち込む期間は1週間で十分。あとは前を向きましょう。

OSCP取得後のキャリアパスと注意点

合格後の道筋も、先に見ておきましょう。「資格を取って終わり」ではなく、ここから始まりです。

進路の選択肢

1. 社内のセキュリティ部門への異動: 既存企業の中で、ペネトレーションテスター・レッドチーム・脆弱性診断担当へ。
2. セキュリティ専業ベンダーへの転職: GMOサイバーセキュリティbyイエラエ、ラック、NRIセキュアなどの専業企業。
3. フリーランスのペンテスター: 個人または小規模法人として診断業務を受託。
4. コンサル・教育・著述: 企業のセキュリティ顧問、トレーニング講師、書籍執筆。
5. CTF / バグバウンティ: 報奨金を得ながらスキルを磨く。

ペットシッター副業の始め方｜資格・収入・開業手順を完全ガイド【2026年版】やMOS Word資格を活かす在宅ワーク｜文書作成の副業で稼ぐ方法のように、別ジャンルの副業と組み合わせている方もいらっしゃいます。「セキュリティ一本」ではなく、「セキュリティを軸にしつつ別収入も持つ」という方針は、メンタル面でも安定します。

注意したい3つの落とし穴

合格後にトラブルになりやすいパターンを、3つご紹介します。

1つ目は、契約書なしで案件を受けること。ペンテスト業務は、書面でスコープと免責範囲を明確にしないと、後から「データが消えた」「サービスが止まった」とトラブルになることがあります。NDA（エヌディーエー）や業務委託契約書は必ず締結してください。契約書の基本については、フリーランス向けの法令情報を国の窓口でチェックすると安心です（参考: 経済産業省、厚生労働省）。

2つ目は、スコープ外への侵入。許可されていないシステムへの攻撃は、たとえ「練習のため」でも不正アクセス禁止法違反になります。学習はOffensive Security提供のラボ、HackTheBox、TryHackMeなどの正規環境で行ってください。

3つ目は、バーンアウト。合格後に「もっと勉強しなきゃ」「次はOSEPだ、OSEDだ」と走り続けた結果、心身を壊す方が一定数いらっしゃいます。資格は人生の手段であって目的ではありません。合格後は、しっかりお休みを取ってから次へ進んでください。

セキュリティ関連の案件登録数は、過去3年で右肩上がりに増加しています。特に「Webアプリの脆弱性診断」「クラウド設定の監査」「セキュリティブログ執筆」の3カテゴリが伸びていて、これはOSCP的なスキルセットと相性が良いカテゴリです。

報酬の支払いに関しても、セキュリティ案件は単価が安定している傾向があります。理由はシンプルで、「替えが利かない人材」だから。誰でもできる仕事は単価が下がりますが、OSCPレベルの実技力を持つ方は数が少なく、企業も「安く叩く」より「長く付き合う」を選ぶケースが多いのです。

最後にもう一度、お伝えさせてください。OSCPは確かに難関です。でも、難関だからこそ、合格したときの市場価値は本物になります。学習中の孤独や不安は、誰もが通る道。「今、苦しい」と感じている方は、それだけ真剣に向き合えている証拠です。

呼吸を整えて、一歩ずつ。あなたの挑戦を、心から応援しています。

よくある質問

Q. プログラミング初心者でもホワイトハッカーになれますか？

正直に申し上げると、プログラミングの基礎知識がない状態で脆弱性診断を行うのは非常に困難です。まずはWebアプリケーションの開発やネットワークの仕組みを学び、CCNAなどの資格取得を目指すことから始めるのが現実的です。

Q. 副業としてどれくらいの時間がかかりますか？

バグバウンティは自分のペースで進められます。週末の5時間だけ集中して作業する人もいれば、毎日仕事帰りに1時間ずつ取り組む人もいます。成果報酬型なので、時間拘束はありません。

Q. 報酬を受け取る際、会社にバレますか？

報酬が年間20万円を超えると確定申告が必要になります。その際の住民税の納付方法を「普通徴収」にすることで、会社に通知が行くリスクを減らすことができます。詳細は国税庁の公式サイトなどで確認してください。

Q. おすすめのプラットフォームはありますか？

日本国内であれば「IssueHunt」などが有名です。グローバルであれば「HackerOne」が最大手です。まずは小規模な案件が多い国内サービスから始め、慣れてきたら海外の大きなプログラムに挑戦するのがおすすめです。

最大のメリットは、**手数料0%**でクライアントと直接契約できる点です。バグバウンティで磨いた技術を活かし、より安定した高単価案件を獲得するためのプラットフォームとして活用してください。

Q. フリーランスのセキュリティエンジニアとして有利になる資格はありますか？

国家資格である「情報処理安全確保支援士」は国内企業からの信頼が厚く非常に評価が高いです。さらに、国際的なベンダー資格である「CISSP」や「CEH」、AWSやAzureなどのクラウドセキュリティ専門資格を取得していると、高単価なペネトレーションテスト案件やクラウド環境の診断案件で強力なアピール材料となります。

@SOHOで資格を活かして稼ぐ

取得した資格を活かせる案件や、資格取得に使える教育訓練給付金の対象講座を@SOHOで一覧できます。

@SOHOで関連情報をチェック

お仕事ガイド

• 家庭教師・受験・資格サポートのお仕事
• AI・マーケティング・セキュリティのお仕事
• 作曲・編曲・効果音・ジングルのお仕事

年収データベース

• ソフトウェア作成者の年収・単価相場
• 著述家，記者，編集者の年収・単価相場

資格ガイド

• Googleアナリティクス認定資格
• E資格（JDLA ディープラーニング エンジニア）