セキュリティの新資格 – CompTIA PenTest+ –


■セキュリティの新資格 – CompTIA PenTest+ –

このサイトでも何度か触れているが、私は現在、

情報処理安全確保支援士となる資格

を有している。

まぁ簡単にいうと、

・情報処理安全確保支援士試験は合格したけど登録してないよ

という状態である。

なぜこの資格をとろうと思ったか。

それは、

自分のセキュリティに関する実力を客観的に提示できるもの

が欲しかったから。

現時点で、

「私はセキュリティの専門家でございます」

と言った所で、どの程度の実力か、を客観的に示す方法は少ない。

なので、

「少なくともこれに受かるぐらいの実力はありますよ」

ということを客観的に示す一手段として、

情報処理安全確保支援士(登録セキスペ)

の試験を受験し、無事合格するにいたった。



情報処理安全確保支援士試験を受験する際、

改めて感じたことがある。

それは、

一言でセキュリティと言っても、その範囲は恐ろしく広い

ということ。

情報処理安全確保支援士試験の出題範囲だけでも、

・情報処理(IT)に関する基礎知識
・サーバの設定等、Web サービスに関する基礎・応用知識
・ファイアウォールや侵入検知等、ネットワークセキュリティの知識
・暗号技術に関する知識
・脆弱性等、プログラミングに関する知識
・インシデント対応に関する知識

等々、専門性の異なる知識を、

広く、そしてそれなりに深く抑える必要がある。

CISSP などになれば、更に物理セキュリティが加わるなど、

もっと難易度があがる。

セキュリティの専門家です、という以上、

もちろんこれらの知識は身につけておかねばならない。

が、じゃぁ

悪意あるハッカーがこれらの知識をすべて知っているか、

と言われると、必ずしもそうではない。

攻める方は、特定の分野に特化した実力を持って入ればよい。

そこに弱点があれば攻撃成功、なければ別のターゲットを探す。

それで攻撃者としては勝てるのである。

これに対して、守る方は、

全部の知識を持ってないといけない、

では、スーパーマンでない限り、正直守りきれないと思う。

よく、

セキュリティは攻撃側が圧倒的に有利

と言われるが、その背景には、こういった

・攻める側は特定の分野の深堀りで勝ち得る
・守る側は全部の弱点を防いでおかないと負けうる

という状況があるからである。



こういった状況に対応していくためには、

・守るために、必要な知識をちゃんと整理・分類する
・各分野毎の専門家を配置する

ということをやらないといかんのではないか、と思っている。

でないと一人が見る範囲が広すぎて、絶対に対応に不備がでる。

そういう観点で見ると、情報処理安全確保支援士、というのは、

・セキュリティに関する幅広い知見を有している

ということは示せるものの、どの専門分野が得意か、は示せない。

これもあってか、IPA では、情報処理安全確保支援士の登録簿に、

・専門分野

を追記できるようにした模様。

これはこれで一歩前進かと思う。

ただ、客観的に実力を示せるものではない。

なので、

専門領域毎に実力を示す方法があればよいのにな

というのは前々から感じていた。



そんなことを考えていたら、ITpro で、以下のような記事を見つけた。

「攻め」のセキュリティ新資格、業界団体CompTIAが6月に試験を開始
http://itpro.nikkeibp.co.jp/atcl/news/17/012403006/?rt=nocnt

これ、いいじゃない!

中身見てないから、正直よく分からないのだけれども、

妥当な内容なのであれば、

・侵入テスト(ペンテスト)を出来る実力がありますよ

ということを客観的に提示できると思われる。

おそらくそれは、セキュリティを必要とする人側からも、

非常にわかりやすい判断基準になるのではないか、と思う。

もちろん、この資格を持っていたとしても、結局の所、

「検出された問題は分かった。で、どうすればいいの?」

と聞かれるので、対策に関する知識も必要になる。

ただ、こういった資格を持っていれば、

セキュリティチームの構成として、

・セキュリティシステムを設計・提案・実装する人
・その妥当性を確認する人(ペンテストする人)
・何か起こった時に対応する人(インシデント対応チーム)

という風に分けられていた場合、

「そのうちのペンテストをする人としての実力がありますよ」

ということを示せる。

そしてその分、他のセキュリティ資格よりも、

その分野に関しては、より深い専門知識を持っている

ということが提示できると思われる。



CompTIA という団体が、

いろんなセキュリティ資格を作っていること自体は知っていた。

が、各々どんなレベルで何用なのか、は

正直あまり分かっていなかった。

今回の記事を見るかぎり、少なくとも、

新設の PenTest+ に関しては、非常に興味を覚えた。

他の資格を含め、ちょっと調べてみようと思う。

おもしろそうであれば、受験も検討してみよう。

ただ、セキュリティ資格としては、他にも、

SANS が色々出していたはずである。

結局どれがどれだけ意味があるんだろうなぁ?

興味のあるやつは色々資格を取ってみたい。

が、あまり持っていてもしょうがないような気がする。

何だろう、

スキルコレクター

みたいになってしまわないか、自分でちょっと心配。

転職するなら有利なのか、とも思わなくもないが、

同じようなセキュリティ資格をいっぱい持っていることが、

プラスに働くかどうかは疑問だな。

やっぱり、何でもかんでも取ればいい、って思うより、

・セキュリティに関する全般的な知識を持っている
・これとこれの分野は更に特化した専門性を持っている

という形で示せるようなとり方をした方が良さそうに思う。

その意味でいうと、全般的な知識に関しては、

情報処理安全確保支援士試験合格者

ということで、ある程度のレベルであることは示せるはず。

なので、記事にあったような資格を取って、今度は、

・侵入テストの分野は特に専門性がありますよ

と示せるようにしたいなぁ。

ちょっと勉強してみようかな。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 タグ: , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください