サイバーセキュリティの各役割に対する視える化
CompTIA(コンプティア)認定資格 「SecBoK2019」へのマッピングを公開
NICEフレームワークへのマッピングと共に、セキュリティ領域を網羅的にカバー
ワールドワイドで100ヵ国以上の国と地域で取得されている認定資格を提供するCompTIA(コンプティア)日本支局(本部:米国イリノイ州/日本支局長 Dennis Kwok【デニス クォック】)は、情報セキュリティ知識項目の「SecBoK2019」に対するCompTIA(コンプティア)認定資格のマッピングを発表しました。
SecBoK(Security Body of Knowledge)は、特定非営利活動法人日本ネットワークセキュリティ協会(会長:田中英彦、本部:東京都港区)の教育部会(部会長:平山敏弘)で作成された情報セキュリティ知識項目で、ITベンダー・セキュリティベンダーのみならず、多くの企業においてセキュリティ人材育成の際の参考資料として活用されています。またSecBoK2019では、NIST(National Institute of Standards and Technology:米国国立標準技術研修所)が公開しているセキュリティ対策基準「NIST SP800-181(NICE Cybersecurity Workforce Framework)」で定義された52ロール(役割)とのマッピングが行われており、グローバル標準との連携がされています。(※1)
(※1)セキュリティ知識分野(SecBoK2019)から引用:https://www.jnsa.org/result/2018/skillmap/
CompTIA(コンプティア)では既に、NIST SP800-181のフレームワークに対するCompTIA認定資格のマッピングを発表しています。重要インフラ企業やグローバル企業での関心が高いNIST SP800-181だけでなく、今回SecBoK2019へのマッピングを提供することにより、国内企業に対し、セキュリティの各職務に対する知識の客観的な視える化に貢献します。
CompTIA SecBok2019におけるマッピング概略図
CompTIA(コンプティア)では、事前のパートナー企業に対するヒアリングで、各企業がセキュリティ人材の育成、評価する上で、それぞれの企業にあわせたフレームワークやスキル標準を参照し、教育や評価の参考にしていることが分かりました。しかし課題として、研修やスキルチェックにおいては、客観的に達成度や評価を測ることができていないことも分かりました。今回のマッピングは、その解決の一助として公開するものです。
今回のマッピングで、各IT業務で必須となる実践力、応用力を評価するCompTIA(コンプティア)認定資格の特徴から、SecBoK2019で定義されるロール(役割)の「主要な」タスクや知識、スキルにおいて、網羅的にカバーしていることが判明しています。このマッピングを参照することにより、合理的かつ客観的に人材を教育、評価できる領域が明確になり、研修計画作成や評価方法の合理化、効率化につながります。
CompTIA(コンプティア)は、今回公開するマッピングを通し、日本国内のサイバーセキュリティ人材育成において貢献をしてまいります。
CompTIA シニアコンサルタント 板見谷 剛史は「CompTIA(コンプティア)認定資格は「業務」に紐づいた認定資格で、出題範囲は職務分析調査を介し、タスクを基に構成されています。各種フレームワークやスキル標準との親和性が高いものと想定していましたが、今回のマッピングではそれを証明することができました。今後、企業の人材育成では社員のスキルの見える化に、採用時では採用基準として、CompTIA(コンプティア)認定資格の活用を期待しています。」と述べています。
【マッピングで分かったこと/できること】
1. CompTIA Security+が、情報セキュリティに関する基本的な知識・スキルに対して幅広く定義がされていることが分かりました。
2. CompTIA PenTest+、CompTIA CySA+は、ペネトレーションテスト及び脆弱性診断、セキュリティ分析といったそれぞれの資格の目的に沿った、特徴ある知識、スキルが定義されています。(例:ペネトレーションテストでは、目的の明確化にコミュニケーションスキルが求められますが、CompTIA PenTest+において、関連知識項目の多くでカバーしていることが分かります。)
3. CompTIA CASP+は、SecBoK2019で定義される各ロールの8~9割の知識項目に紐づき、組織全体のセキュリティコントロールを行う実務家を評価できることが分かります。
4. SecBoK2019を活用し、職務で求められる知識の有無の確認のためチェック項目を作成していた場合、その結果は主観的な評価になりかねません。今回のマッピングを通し、各CompTIA認定資格の取得で、多くの知識は、客観的にそれらの知識の習得を確認できます。すべてを主観的、定性的な評価にせず、客観的に公平かつセキュアに、「コアスキル」を「視える化」できます。
5. 4において、各CompTIA認定資格でマッピングされていない知識項目だけピックアップし、不足分だけのスキルチェックの作成もしくは研修の修了などの評価で補完できます。職務の評価において、時間的なコスト削減に繋がります
*マッピングされた文書は下記URLよりダウンロードいただけます。
https://www.comptia.jp/about/library/
【CompTIA(コンプティア)について(http://www.comptia.jp)】
1982年、様々なIT規格の標準化を提言するため、ITベンダーとパートナー企業がオープンな対話を行う場なるべくグローバルなIT業界団体としてシカゴで設立。1990年、IT業界の活動を反映するべく、名称をCompTIA( the Computing Technology Industry Association)に変更。欧米を中心とし10拠点に拡大し、2001年4月にCompTIA(コンプティア)日本支局を設立。2018年現在、CompTIA(コンプティア)は、ICT業界を中心にした2,000社以上のメンバー企業、3,000社以上の学校機関、トレーニング関連の企業とのパートナーシップを締結し、数万人を超えるITプロフェッショナルのコミュニティを運営しています。IT業界団体として、ITハードウェア/ソフトウェア、サービスを提供する企業や、業界のキーとなるITプロフェッショナルなどの成功と成長に貢献できるよう、ITに携わる企業や個人の利益を高めるための「教育」、CompTIA認定資格での「認定」、IT業界の声を反映しIT政策に反映するための「政策支援活動」、IT業界への「社会貢献」の4つを柱として活動を続けています。
【CompTIA認定資格について(http://www.comptia.jp/cont_certif.html)】
1993年に、Windowsのリリースを始めとするIT環境の変化に伴い、ITを管理する人材の必要性の高まりから、ビジネス環境において利用されているITハードウェア/ソフトウェアを理解し、より複雑なIT環境の管理、サポート、運用を行うスキルを評価するCompTIA A+の提供を開始。その後、IT環境の変化に伴い、ネットワーク管理者の必要性が高まりCompTIA Network+、セキュリティ人材のニーズに応じCompTIA Security+の提供と、その時代に即した人材を効率的に輩出できるように認定資格が開発されています。CompTIA認定資格は、業界のエキスパートにより開発され、実践力、応用力を評価するベンダーニュートラルの認定資格として、法人を中心にワールドワイドで200万人以上に取得されています(2018年4月現在)。CompTIA A+、Network+、Security+、CySA+、CASP+は、認定資格の人材評価の有効性が認められ、IT認定資格としては数少ないISO 17024の認定を受け、信頼性の高い認定資格として評価されています。日本国内では、ワールドワイドのスキル基準での人材育成を行う企業を中心に、導入が進められています。
2018年4月現在、Network+など14分野におよぶ業務に関する認定プログラムを提供しています。
【本件に関するお問い合わせ先】
CompTIA日本支局 http://www.comptia.jp/ 担当:吉村 睦美
TEL:03-5226-5345 FAX:03-5226-0970
【報道関係者からのお問い合わせ先】
CompTIA広報事務局(カーツメディアワークス内) 担当:森山、ジェレミー、戸田
TEL:03-6427-1627 FAX:03-6730-9713 E-Mail: [email protected]