サイバー攻撃が高度化し被害が深刻化するにつれ、その防御には専門的なスキルが不可欠となっています。セキュリティ担当者の深い知識と豊富な実務経験が求められているのです。
そのスキルを証明するものにセキュリティ資格があります。セキュリティ資格の種類も多数あり、受験者の増加傾向も見られるようになってきました。これらセキュリティ資格には、どのような職種向けに、どのようなものがあるのでしょうか。また、取得することで、個人や企業にどのようなメリットがあるのでしょうか。
ここでは、主にセキュリティ資格の取得メリットと選択ポイントを2回に分けて紹介します。
セキュリティ資格は多くの種類があり、その数も増えつつあります。国が制度として実施しているものもあれば、ベンダーが展開しているセキュリティ資格もあります。中間に位置するものとして、団体が提供するセキュリティ資格もあります。
さらに、日本国内のみならず、海外で展開されている資格も多く、これらを含めると相当な数になりますので、ここでは代表的なものに絞っています。ほかにも多くの種類があることをご了承ください。
セキュリティ資格マップ(資格の位置付け)
上記マップは、ISEPA(情報セキュリティ教育事業者連絡会)が作成した、情報セキュリティ資格マップを弊社でアレンジしたものです。元の資料で提示されている各資格の枠の大きさも弊社で変更をかけております。
縦軸がテクノロジーかマネジメントか、横軸が実務者向きか経営者向きかという切り口になっています。上部はテクノロジー内容が中心になり、下になるにつれて監査や管理の視点が必要となります。左側が現場に必要な実務知識であり、右側には経営的な経験や知識が求められます。また、各色の箱の面積がカバーしている範囲を示します。
例えばCISSP(Certified Information Systems Security Professional)は右寄りにありながら、上下を広くカバーしています。このことからCISSPは、テクノロジーはもちろん、豊富な知識と技術、さらに組織維持に求められる能力を保有していることの証明になります。まさに経営者に助言するような立場の方に求められる資格です。
逆にCEH(Certified Ethical Hacker)は左寄り上部にあり、これは現場で実務者としてすぐに役立つ高度な技術を習得している証になります。
一方、CISA(Certified Information Systems Auditor)は、下半分を幅広くカバーしており、監査人としての知識と技能と経験をもっているプロフェッショナルに与えられます。
カバーしている面積で特徴的なのが、GIAC(Global Information Assurance Certification)です。GIACはおよそ40種類の資格が用意されていることから、ほぼすべての範囲を網羅する資格となっています。
セキュリティ資格 比較表
名称
|
対象
|
適用範囲
|
維持・更新の有無
|
GIAC
|
・エンジニア
・マネジメント支援
・監査
|
グローバル
|
有(4年で36CPEクレジットの取得)
|
CEH
|
・エンジニア
|
グローバル
|
有(3年で120ECEクレジットの取得)
|
CISSP
|
・マネジメント支援
|
グローバル
|
有(3年で120CPEクレジットの取得)
|
CompTIA CySA+
|
・エンジニア
|
グローバル
|
有(3年で60CEUの取得)
|
CAIS
|
・監査
|
日本国内
|
有(1年20ポイント以上かつ3年で120ポイント以上の取得)
|
CCSP
|
・マネジメント支援
|
グローバル
|
有(3年で90CPEクレジットの取得)
|
CompTIA Security+
|
・エンジニア
・マネジメント支援
|
グローバル
|
有(3年で50CEUの取得)
|
CISM
|
・マネジメント支援
|
グローバル
|
有(1年20時間以上かつ3年で120時間以上のCPEの取得)
|
情報処理安全確保支援士
|
・エンジニア
・マネジメント支援
|
日本国内
|
有(1年に1回と3年に1回、特定の講習を受講・修了する必要あり)
|
CISA
|
・監査
|
グローバル
|
有(1年20時間以上かつ3年で120時間以上のCPEの取得)
|
セキュリティ資格では、「対象」や「適用範囲」「維持・更新の有無」もポイントになることから、「セキュリティ資格 比較一覧表」も用意しました。
例えば、セキュリティ資格のほとんどは受験して合格するだけでなく、その後資格を維持していくため、研修やセキュリティ活動に参加してポイントを稼いで積み重ねていくことが必要となります。また維持のために年会費や更新費用も必要となります。
主なセキュリティ資格
次に、GIAC、CISSP、CCSPなどを中心に、個々のセキュリティ資格にフォーカスして解説します。
GIAC(Global Information Assurance Certification)
GIACは、SANS Institute(Sysadmin, Audit, Network, Security)が提供するセキュリティ資格の総称です。資格の種類も豊富で多岐にわたっていて、セキュリティに携わる人であればグローバルに認知度の高い資格です。なおSANS Instituteは、米国のサイバーセキュリティ分野における調査研究・教育機関で、1989年に設立されています。
GIACは、おおよそ40個程度の種類の資格があり、セキュリティ管理・運用、フォレンジック、マネジメント、監査、ソフトウェアセキュリティ、セキュア法制などに区分されていて、その取得はその分野のスペシャリストであることの証明になります。技術的に高いレベルを証明するような資格も含まれており、世界で活躍する情報セキュリティの専門家になりたい人が目指しています。
試験では、理論や概念だけでなく具体的なスキル(実務能力)が問われます。例えば、ツールの最適なオプションを選択したり、ログが示されどのような攻撃を受けているか分析する等です。問題文も解答文も、すべて試験問題は英語。参考書も印刷物なら持ち込み可能となっています。もちろん、英和辞書も持ち込み可能です。
GIAC取得者は全世界で延べ163,909人(2021年3月現在)となっており、日本国内では数千人規模です。ワールドワイドで活躍したいなら、ぜひ取得したいセキュリティ資格です。
GIAC 取得者数の多い資格一覧
出所:SANS Instituteから収集した情報をNRIセキュアが編集(2021 年 12月時点)
CISSP(Certified Information Systems Security Professional:セキュリティ プロフェッショナル認定資格制度)
(ISC)²(International Information System Security Certification Consortium(国際情報システムセキュリティ認証コンソーシアム))という米国の団体が認定する国際的に最も権威あるセキュリティ プロフェッショナル認証資格です。
グローバルで147,000名以上(2021年1月現在)が取得。欧米CISO/CSOの85%以上がCISSPを保有しており、経営者層が持つべき資格として有名です。日本でのCISSP資格保有者は2,900名ほどで、認知度と保有者数は発展途上にあります。
試験出題範囲は広く、「概念と設計、計画」「実装と技術」「運用と評価」というように経営層向けとしてありますが、技術分野の内容も求められます。状況に応じた適切な判断が可能な、実践的な「知識」と「理解度」が試されます。CISSPはセキュリティエンジニアから管理職、そして経営者を目指すキャリアプランのゴールとなっています。
CCSP(Certified Cloud Security Professional)
これも(ISC)²が認定する国際資格で、クラウドのセキュリティに特化していることに特徴があります。試験内容もクラウドのトピックを詳細に取り上げています。
2015年に発表となり、全世界で注目を集め、ITアーキテクトやセキュリティ系のエンジニアなどが興味を示し、受験者数も増加しています。 現在のITシステムはクラウド化を避けることはできず、潮流となっているDXのインフラもクラウドが主流です。CCSPはこれからの狙い目の資格といえます。
実務経験が合格条件となりますが、CISSPを保有している場合、テストのみで許されます(CISSPも簡単な試験ではありません)。
情報処理安全確保支援士
国内では、情報処理推進機構(IPA)が認定している「情報処理安全確保支援士」があります。日本国内では最も知られています。ですが決して簡単に取得できるものではなく、合格率は2割程度で極めて狭き門で、それだけ優秀なセキュリティエンジニアとして認識されます。国家資格であり、合格者は情報セキュリティに関する知識・技能を持っていることの証明になります。
なお、情報処理安全確保支援士の前身は「情報セキュリティスペシャリスト」ですが、この資格は、一度認定されると期限なしに有効でした。しかし2017年からは情報処理安全確保支援士に変更され、同時に登録更新制が導入され、1年に一回の共通講習と、3年に一回の実践講習を継続的に受講することが義務づけられています。サイバー攻撃は日々進化しており、定期的にスキルの最新化と能力の維持向上が必要であると言えます。
次回は、セキュリティ資格を取得するメリットや、セキュリティ資格を選択するポイントなどを概説します。
長谷川 剛:1997年野村総合研究所入社。アプリ・インフラエンジニアを経て、2003年からNRIセキュアに出向し、セキュリティコンサルティングやセキュリティ診断を担当。2009年から9年間、NRI北京・NRIシンガポールに出向し、中国・APAC域で情報セキュリティやインフラ基盤関連の サービスを現地日系企業向けに提供する事業を立ち上げ、展開。2018年野村総合研究所に帰任しデジタルワークプレイス事業を担当。生命保険会社でのPC運用サービスや 航空会社向け大規模PC更改プロジェクトを経験したのち、2020年NRIセキュアに出向し、セキュリティ教育事業に従事。現在はセキュリティ教育サービス部部長。
時田 剛: ベンチャー企業などを経て2009年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、セキュリティトレーニングだけではなく事故対応や各種コンサルティングなどに従事。2009年から2012年まで、内閣サイバーセキュリティセンター(NISC)の国際戦略グループへ出向し、国内外のセキュリティ機関との連絡調整業務を行なっていた経験を有する。GCIHやCISSPをはじめとしたIT・セキュリティ資格を複数保有しており、現在はオリジナルコースの開発や講師などに従事している。東京工業大学や東京都立産業技術高等専門学校でも講義を担当している。趣味はひとりCSIRT。