前回は、セキュリティ資格マップや選択ポイント、主なセキュリティ資格について解説いたしましたが、今回はその続きで、セキュリティ資格を取得するメリットや、セキュリティ資格取得に向けた対応策などを概説します。
セキュリティ資格の取得メリット
セキュリティ資格の選択ポイントや具体的なセキュリティ資格について、前回概説いたしましたが、そもそも、セキュリティ資格取得のメリットにはどのようなものがあるのでしょうか。個人、ベンダー企業、ユーザー企業に分けて解説します。
個人:スキルアップ
個人のセキュリティ資格取得のメリットは、一言でいうとスキルアップであり、これにさまざまな恩恵がつくのではないかと思います。恩恵の中で最もわかりやすいのが、昇進と昇給です。セキュリティ資格を取得することで、人事評価が高まり昇進の道が開きます。昇進には昇給がともないます。昇給だけの場合もあります。奨励金を出している企業が多くあり、これを目指して資格取得を狙っている人もいます。
また、社内のみならず対外的な信用も高まります。資格は持っている能力をわかりやすく示す指標となります。こちらが有資格者であることを前提に、商談やディスカッションがスムーズに進みます。
例えば、筆者の経験上ではあるのですが、CISSPのようなグローバル資格が印刷されている名刺をビジネスの場でお渡しすると、特に海外では、交渉相手からの信頼度が高まることが多くみられます。その当時は、コンサルタントや営業を担当していたのですが、グローバル資格を持っていると認識いただいたおかげで、私の話をきちんと聞いてくれるような印象がありました。
特にエンジニアの方は反応してくれたように感じます。日本国内ではここまで露骨ではないかもしれませんが、今後のウイズコロナやアフターコロナの時代、対面ではなくオンラインでの商談が増えることから、資格の重みが増してくる可能性もあると思われます。
なお、資格は転職にももちろん役立ちます。企業の募集要項に資格が条件となっていることがありますし、明記されていなくとも優遇されるケースが多いと思われます。例えば米国の国防総省に勤務するにはGIACやCISSPの取得が条件となっているようなこともあります。
セキュリティ専業会社、ITベンダー企業:競争力強化
セキュリティ専業会社やITベンダー企業にとって、資格取得者の数は競争力の強化に直結します。例えば、政府系や海外のサイバーセキュリティの調達要件として、CISSP取得者の人数がある、といったことが挙げられます。調達要件に明記されていなくとも、スタッフに資格取得者がいることは大きなセールスポイントになります。資格取得者の数を公表している企業も多くあり、セキュリティの専門性が高い企業であるということの証明になります。
また、既存のお客様の満足度の向上にもつながります。資格を持っている人が自分のシステムを担当してくれるというのはお客様にとって安心材料となるためです。さらに、社員向けにもセキュリティ資格取得を推奨するメリットがあります。資格取得を昇進あるいは昇級の条件とすることで、目標のマイルストーンとなり、社員のモチベーションアップにつながることがあります。
加えて、セキュリティ資格取得の社員教育コースを設けておくことは、採用活動にも役立つことがあります。中途採用でも新卒採用でも、企業の魅力度アップにつながるためです。
ですので、セキュリティ資格の取得は、社員個人の奮起に頼るのではなく、企業として取り組むこを推奨します。
ユーザー企業:セキュリティ強化
最近の新しい傾向として見られるのが、ユーザー企業におけるセキュリティ資格の取得意欲です。当社ではセキュリティ強化のトレーニングや資格取得に向けた講座を開設し提供しているのですが、ユーザー企業の方が増えているという傾向が見られます。具体的には金融機関やeコマース、サービス業、製造業の方からの引き合いが多いです。
サイバー攻撃の被害は、その企業への信頼を大きく損ね、企業の情報漏えいはお客様にとって深刻な問題となります。企業にとっても損害賠償問題などに発展する可能性があります。また、製造業の製品や開発の情報漏えいは、企業自体の存続はもちろん、国家レベルの問題を誘発しかねません。
そこで、ユーザー企業が取得するべきセキュリティ資格も用意されています。例えば、CISO/CIOが持つべきセキュリティ資格としてはCISSPやCISMなどがあげられます。セキュリティ運用を外部ベンダーに依頼している企業であっても、CISO/CIOにセキュリティ資格取得者がいるとわかると、ベンダー担当者にも緊張感を与えることができます。
そういう意味でも、企業としても一般の社員へのセキュリティ資格の取得はもちろん、CISO/CIOへのセキュリティ資格取得も奨励することが望まれます。
セキュリティ資格取得に向けた対応策
では資格試験に合格し資格取得するにあたり、どのような資格を選択し、どのように勉強に取り組んでいけばいいのでしょうか。
キャリアパスを明確にする
目標とする資格の選択においては、いくつかの視点が必要になります。例えばまず最初に必要となりそうなのが、将来へのキャリアパスの明確化です。現時点で自分に求められているスキルは何で、最終的に自分はどこを目指すのか。そしてそれを実現するためにはどのセキュリティ資格が適しているのかをイメージして、資格取得の計画を立案します。
現時点と将来像も含めて、職種向けの資格の例として、以下があります。
幅広いセキュリティスキルを深く学ぶには
- 情報処理安全確保支援士
- CompTIA Security+
- GIAC(GSEC(GIAC Security Essentials Certification))
セキュリティエンジニアとしてレベルアップを目指すには
- GIAC(GCIH(GIAC Certified Incident Handler)、GPEN(GIAC Penetration Tester)など)
- CEH
- Offensive Security(OSCP(Offensive Security Certified Professional)など)
- CASP(CompTIA Advanced Security Practitioner+)
経営層に近い立場でのセキュリティ戦略策定を行う人、CISO/CIOを目指すなら
- CISSP
- CCSP(クラウドセキュリティを学びたい方向け)
効率的に資格に合格できる方法を確認する
資格取得では受験して合格することがまず必要ですが、合格に向けて投資した時間やエネルギーなどに対して、合格後にきちんとメリットが享受できるかを検討しておくことも必要です。そこで、勉強のしやすさも大きなポイントとなると思われます。例えば、会社がそのためのコースを用意している、補助しているということであれば非常に効率的に合格できる可能性があります。
また、トレーニングを受けることで合格の可能性が高まるセキュリティ資格も多くみられます。例えばGIACやCISSPのレベルになると、独学で取得するのに多くの時間やパワー、業務経験を要することが考えられます。
トレーニングを選択する際には、自分の現在の環境に合ったスタイルなのか(教室型なのか、リモートで遠隔地からも受けられるものなのか)もトレーニングを効果的に活用する一つの要因となります。さらに、多くの資格は「知識」のみならず「技能」や「経験」が求められ、座学だけでなくハンズオンも加えたトレーニングで効果的に学習できるかどうかもポイントになると思われます。
なお、社内などに資格取得経験者がいる場合は、その方から情報を得ることも重要です。会社としてセキュリティ資格の取得を奨励しているのであれば、資格取得者の成功事例を社内で公開したり、資格を目指す人たちが参考にできるようになる環境があれば、効果的に資格を取得することに近づきます。
終わりに
セキュリティに関連する現場を見ると、特定の分野を長期間担当する方が多い傾向にあるように感じられますが、この場合、専門性が高まる一方で、視野を広げられない可能性が出てきます。しかし高度なセキュリティ対応には、幅広い視点と技術が必要となります。制度やコンプライアンスへの理解も必要ですし、事件が発覚した場合は事故対応や広報担当との協業も生じます。
こういった幅広い業務とのバランスが求められる中で視野を広げるためには、資格取得を活用することも一つの手法ではないかと思っています。合格することのみならず、勉強するプロセスそのものに価値があるためです。
もちろんセキュリティ業務は免許制ではないため、誰でも従事することはできます。とはいえ、ますます高度化するサイバーセキュリティ攻撃への対応も求められ、事業の現場にもセキュリティの知識が必要になりつつある昨今、高まるセキュリティ人材へのニーズにこたえ、自分を成長させ価値を高めていくためにも、ぜひともセキュリティ資格取得を目指していただければと思います。その際、トレーニングなどを適宜利用していくこともおすすめします。