資格があったとしても、それを知っている人が少なく宝の持ち腐れ、それを理解して評価してくれる社会になってほしいですね。

脆弱性診断が普及していくためには、診断ガイドラインに加えて、診断の技術力を測定する仕組みが不可欠だと私も思います。もちろん、資格認定のみで技術力を完全に測定できるとは思いませんが、誤差は多少あっても客観的なものさしが無いと困るのも事実。
診断技術者の認定プログラムというと、GIAC(SANS)での資格やその他いろいろ（Wikipediaの”Certified Ethical Hacker”の記事を参照）ありますが、資格を取ったとしても、国内の現状では「何それ？」という反応となるのが悲しいところ。国内での診断技術者向けの資格となると、スキャナベンダーの資格を除けば、情報処理技術者試験のセキュリティ技術系の資格くらいしかありません。
そのほかに、セキュリティ診断業者の認定プログラムもPCI DSSでのASV (Approved Scanning Vendor)とか、CRESTなどがあります。ASVの認定取得は国内のIT系ニュース記事に出るようになってきましたが、こちらもまだまだこれから、です。

脆弱性診断の標準化と技術力認定の必要性 - あたまのものおき