取っておくべきセキュリティ資格とは?


■取っておくべきセキュリティ資格とは?

ZDNet に以下のような記事があったので紹介。

IT人材、2019年はセキュリティのスキルなど高需要
https://japan.zdnet.com/article/35128712/

とりあえず来年もセキュリティ知識を有する人材は

高い需要を維持する状態が続きそうだ。

なお、記事によれば、転職希望者の願いとしては、

・給与アップ
・スキルアップ
・ライフワークバランス

などが多いということ。

ということで、簡単にいうと、

・高い給料払って、
・スキル上がる仕事と、
・自由度の高い業務環境を提供する

ということをやれば、人は集まるということになる。

ねぇな、そんな仕事。

ただ、セキュリティを生業とする人間にとって、

自分のスキルを向上させるというのは

知的欲求の満足というレベルではなく、

業務用必要不可欠な活動。

セキュリティは結局、最新技術や世の中の変動と

切っても切れないものなので、

常に最新動向を把握し、

新たな技術に対するセキュリティ感度を上げ、

それらに対応できるだけのスキルを磨き続ける、

というのは必要不可欠だと思っている。

なので、スキルが上がる仕事、というのは、

ある程度与えられなくても自分でできる部分が

あるかもしれない。

一方、給与や業務の自由度については、

自助努力では難しい。

このあたりは企業側にぜひ頑張ってほしい所。

セキュリティ人材が世の中的に必要だからといって、

即高い給料を払ってくれるとも思えないが、

高い専門性や幅広い知識、あるいはその両方を

提示することで、給料をきちんと挙げてほしいものである。



一方で、求職者や従業員側としてやっておくべきは、

やっぱり自分の実力をきちんと提示できることだと思う。

そのために必要なのは、まず、

自分の持っているスキル

の棚卸だろう。

自分はどんな分野が得意で、

どういうキャリア(経験)があって、

何ができるのか、

という所は、しっかり人に説明できるように

しておく必要があると思う。

ただ、こういった、

自分の得意分野の棚卸し

って、自分でいきなりやろうとすると難しい。

なので、なにか客観的な、

スキルフレームワークやスキルマップ的なものが

必要だと思う。

これに使えるものとしては、

IPA スキルマップ
https://www.ipa.go.jp/security/manager/edu/training/expert.html

や、

IT スキル標準(ITSS+)
https://www.ipa.go.jp/jinzai/itss/itssplus.html

などがあるだろう。

正直、分類が細かすぎて逆に使いづらいのだが、

参考の一つとしては使えると思う。

これで棚卸しをすれば、

自分は何ができて何が弱いのか、

という所が漠然とであっても整理できるので、

弱みを補強するのか、強みを強化するのか、

など、自分のスキルアップの方向性を

明確にすることができると思う。



ただ、いくら自分で棚卸しができて、

自分の強みがわかったとしても、

やっぱりそれを客観的に提示できる必要があると思う。

既に自分の能力含めてわかってくれている

会社(組織)内であればいいかもしれないが、

転職となると、自己アピールだけに終わってしまう。

また、スキルの棚卸しをした結果、

強化したい分野が複数ある、

全般的に強化したい、

ということはままあると思われる。

そんな時には、やっぱり資格が有効だと思う。

もちろん、

資格がある = 転職成功!ではない

と思うし、転職成功にはそれ以外の

人物や企業が求める能力とのマッチング等が

重要なのだと思う。

が、同等レベルの人が競合でいた場合には、

やっぱり優位に働くこともあるだろうし、

できるできると口にするだけよりは、

説得力があることは間違いない。

よって、このセキュリティ人材不足が

叫ばれる昨今において、セキュリティの資格を

取っておくことはやっぱり重要だと思っている。



では、どんなセキュリティ資格を

持っていることが有益なのだろうか?

あくまで私見ではあるのだが、

以下のように考えている。

1. 情報セキュリティマネジメント試験

資格というか、国家試験であるが、

一つ目は、

情報セキュリティマネジメント試験
https://www.jitec.ipa.go.jp/sg/

かと思う。

こちら、前述の ITSS ではレベル 2 相当らしい。

既存の情報システムに関する基礎的な知識を

身に着けたうえで、それらを安全に活用したり、

セキュリティインシデントが発生した場合の

基本的な対応方法を学んだり、といった、

情報セキュリティに関する基本的な知識を

問われる試験となっている模様。

初回の合格率が 88% 超と非常に高く、

あまりにも簡単な試験と認識されてしまっているが、

直近では 46% まで低下しており、

それなりに難易度は上がっている。

また、出題範囲もそれなりに広いため、

多少セキュリティには詳しいよ、ぐらいでは

勉強しないと合格は難しいだろうと思われる。

ただし、技術的内容は基礎知識レベルで問われるものの、

詳細まで問われるわけではないため、

セキュリティ技術者のスキルを

提示できるようなものではない。

どちらかというと、マネージメント経験者が

セキュリティに関しても基礎的な理解がありますよ

ということを提示するために向いている資格かと思える。

IPA の情報処理技術者試験の一つでもあり、

過去問対策をしっかりやれば、

合格できるレベルのものではあるため、

今から技術者としてはちょっと、と思う方でも、

チャレンジする価値はある資格かと思う。



2. 情報処理安全確保支援士

情報セキュリティマネジメント試験は、

セキュリティ技術者というよりも、

マネージメント向けとしてのほうがより適切、

というようなことを書いたが、

技術者として幅広い知識と専門性を提示するのであれば、

国家資格でもある、

情報処理安全確保支援士

がそれなりに有益だろうと思われる。

情報セキュリティに関する国内唯一の国家資格であり、

セキュリティ資格としての知名度としては、

国内では一番だと思う。
*とはいえ、一般の人まで知られているレベルではない。

内容としては、

・ネットワークセキュリティ
・セキュアプログラミング
・インシデント対応

などがあり、システムエンジニア(SE)などを

やっている方には、親和性も高くとっつきやすいと思われる。

レベル的には、情報セキュリティマネジメント試験よりも

かなり技術的な内容が問われ、難易度も高い。

ITSS ではレベル 4 相当とのこと。

例えば、組織の PC がマルウェア感染したっぽいが、

被害の有無を調べるために、マルウェアの挙動を調べる際、

C&C サーバーなどと通信しているとだましながら

被害をさえるネットワーク構成にするにはどうすべきか?

みたいな内容が問われたりする。

ある程度ハッキングとか脆弱性、マルウェアの挙動、

セキュアコーディング等の技術内容を把握していないと、

合格は難しいと思われる。

さらに、午後問題は記述問題がメインであるため、

国語力も問われる試験となっている。

この資格を取得しておけば、

セキュリティ技術者としてそれなりに広く深い知識を持っている

ということは提示できると思われる。

なお、この資格は国家資格であるため、

情報処理安全確保支援士

を名乗るためには、試験合格後、国への登録が必要。

また、その後毎年一回の e-learning 講習と

三年に一回の集合研修に参加することが義務付けられている。

この研修費用が三年で計 14 万円と高い一方、

支援士を名乗ることによるメリットがほとんどない。

よって私は

・試験のみ合格し、試験合格者を名乗れるようにする
・名刺には、試験合格者、という形で記載する

という対応をとっている。
*登録しない場合にはこのような対応も可能

このあたりのメリットデメリットに関しては、

過去最低を更新 – 情報処理安全確保支援士試験の応募者数 –

に記載しているので、よければ参考にしていただきたい。

実際、名刺交換をすると、

・支援士試験に合格しているんですか!?
・結構難しい試験ですよね!
・登録してないんですね。研修費、結構かかりますもんね(笑)

などなど、この資格を知っている人であれば、

それなりに話のきっかけにもなり、

登録しなくても実力の提示にもなっていると思える。

ということで、登録するかしないかは

個々の事情で判断すればよいと思うが、

試験に合格しておくこと自体はそれなりにメリットがあるため、

興味を持たれた方には受験をお勧めする。

また、本サイトにおいても、

情報処理安全確保支援士への道

として、学習方法や当日の様子、参考書などを

記載しているので、参考にしていただければありがたい。



3. CISSP

さらに上位と思える資格としては、

CISSP(Certified Information System Security Professional)
https://japan.isc2.org/cissp_about.html

がある。

こちらは米国中心の民間資格であり、

日本国内ではそれほどメジャーなものではないが、

国際的には非常にメジャーな資格の模様。

難易度的には、情報処理安全確保支援士同等レベルと

いう人もいるが、問われる内容の質と量が随分違う模様。

情報処理安全確保支援士試験は、

前述した通り、なんだかんだ言ってもまだまだ

ネットワークセキュリティが中心。

一方、CISSP 試験の方では、

事業継続計画とか、監視カメラやゲートなどを含む

物理セキュリティとか、セキュリティと名の付くものは

すべてを含む、という感じのよう。

また、技術知識を暗記したり理解したりするだけでなく、

「CISSP としてはどう考えるべきか?」

というような、考え方を問われる試験らしい。

という意味で、情報処理安全確保支援士試験とは

異質な難しさがあると思われる。

こちらは国内でも 2018 年 11 月現在 2,000 人超しか

いないようで、

知名度は低い一方で難易度は高い

という状態かと思われる。

ただし、セキュリティの専門家ならば

誰でも知っているような資格であり、

既にセキュリティ関連の幅広い知見を持っている、

情報処理安全確保支援士試験には合格し、

次のステップを模索している、等、

より高いレベルを目指す方にとっては

よい目標ではないかと思う。



4. その他の資格

これ以外にも、セキュリティの資格は存在しているが、

私が知っているその他の資格としては、

CompTIA 系の資格が存在する。

CompTIA 自体は IT 業界団体とのこと。
https://www.comptia.jp/

ここでやっている民間資格として、

・CompTIA Security+
・CompTIA Pentest+
・CompTIA CySA+

などがある。
*ほかの IT 関連資格もある。
https://www.comptia.jp/cert_about/certabout/

Security+ がセキュリティ基礎的な位置づけであり、

Pentest+ はペネトレーションテスト関係者向け、

CySA+ はインシデント対応業務関係者向けの模様。

さらに上位資格として、CASP というのもある模様。

これらに関しては、詳しいことは知らないので

何とも言えない所があるが、

情報処理安全確保支援士や CISSP が

かなり幅広い知識を求めるのに対し、

専門分野に特化した形の資格であるといえるかもしれない。

あまり関係ない所を詳しく知りたいわけではない、とか、

ペンテスターとしての力を示したい、とかいう

目的がある人であれば、こういった資格に

チャレンジしたほうがよいのかもしれない。



以上、セキュリティ人材に対するニーズは

来年も依然として高そうだ、という話から、

それに乗っかるためにも資格があるとよさそうだ、

という話をし、そのうえで、

どんなセキュリティ資格があるのか、

という所を私が現在知る範囲で書いてみた。

繰り返しになるが、資格を持っていればよい、

というものでもないと思うし、

実際私自身が資格を持っているが、

それで即ちネットワークセキュリティの

スペシャリストといえるか、と言われると、

そこまで自信をもっていえるレベルではない。

が、対外的に客観的な能力の提示に使えること自体は

間違いないと思うし、なによりも

資格取得に向けて学習することで、

現状の知識以上に得ることが多い、という効果が大きいと思う。

2018 年も残りあとわずか。

年始には新たな目標を立てる人も多いと思うが、

あまり明確な目標を持っていないセキュリティ関係者各位が

いるのであれば、自分のレベルに合った資格を

まずは取得する、というのを一つの目標にしてみても

よいのではないか、と思っている。

そうして、セキュリティ有識者が一人でも増えていくことを

願ってやまない。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 タグ: , , パーマリンク