CompTIA認定資格活用インタビュー
「まさに、セキュリティアナリストのスキルを証明する認定資格」CompTIA CySA+認定資格を取得したセキュリティエキスパートに聞く!
S&J株式会社
ナショナルセキュリティセンター センター長 安田 良明 様
 
CompTIA(以下、グレー部分はCompTIA )
平素は、SMEとしてCompTIA認定資格の開発にご協力をいただきありがとうございます。そして、CompTIA CySA+の合格おめでとうございます。まずは、受験の感想を教えてください。

安田様: 受験の感想ですが、単なる知識や技術用語の確認ではなく、組織活動を通じて発生するマルウェアやAPT攻撃などの脅威を的確に可視化し、組織が期待する水準でリスク受容レベルを維持していくために必要なスキルを確認する出題傾向だと感じました。
驚いたのは、数問でこのような出題傾向は、トーンダウンしていくだろうと思っていたのですが、とてもクールでタフな出題が最後まで続き、久しぶりに心地よいプレッシャーを感じることができました。
受験を振り返ると、前提となるCySA+ の出題範囲を理解していることはもちろん必要になりますが、組織活動の基礎となるIT全般に関するハードウェア、ソフトウェア、ネットワーク、アプリケーション、セキュリティに加えて、組織の意思決定プロセスやIT現場のタスクに関する出題が含まれていますので、実務経験が無いと、合格することが難しい認定資格だと感じました。もちろん、シミュレーションの出題も実務で分析業務を行っていないと解答できないものでしたので、まさに、アナリストのスキルを証明するにはよい試験だな〜と思いました。

 
ありがとうございます。受験準備をされていた時期は、日本語教材の展開はありませんでしたが、どのように準備をされたのでしょうか。
安田様: 日本語の教材があればよかったのですが、これは、CASP を受験したときも同様な条件だったので覚悟していました(笑)。幸いなことに、僕の普段の業務として、ガバナンスコンサルタント、インシデントレスポンス、不正プログラム分析やデジタルフォレンジックを取り扱っているので、これらの出題範囲は、CompTIAさんがWebサイトで公開している出題範囲(日本語・英語)を確認し、現時点で理解が不足している内容を、インターネットの情報や書籍で底上げすることができました。ただ、CySA+ は、ISO/IEC17024 が取得されているため、グローバル標準の知識分野を取り扱うため、日本では馴染みがないような用語や優先順位の考え方について出題されるため、重点的に英語の一次情報サイトを確認しましたね。試験準備で大変だったところは、ペネトレーションテストの出題範囲への対応ですね。実務として、不正アクセス調査時の攻撃手法の再現に関する調査研究はしているのですが、業務として専門的に実施するには、ベストプラクティスに関する知識が不足しているところがあったので、ペネトレーションテストに関する一連のライフサイクルを、英語のサイトや書籍から学習していきました。
 
セキュリティはとりわけグローバル標準の知識が欠かせないわけですね、さすがです。
サイバーセキュリティ関連の資格は数多く存在しますが、それらと対比した際CySA+はどのような特徴や取得メリットがあると思いますか。
安田様: CySA+は、まさに、アナリストのスキルセットを証明する内容に特化していますので、組織内のデータ分析を行う担当者を育成、雇用する際の基準になる資格だと思います。また、脆弱性診断やペネトレーションテストに関する内容も出題範囲に含まれていることから、事前に組織内のセキュリティリスクを定量的に可視化することが期待できますので、経営層の情報セキュリティに関する意思決定をサポートする担当者の育成、雇用にも活用できる資格だと思います。日本でも、インシデント対応をする専門部署を設置する企業が増えてきていますので、まさにそのような企業は、CySA+を取得した担当者を配置することで、適切な情報セキュリティの維持が期待できると思います。
 
ありがとうございます。安田様は、すでにCompTIA Security+、CompTIA CASPを以前に取得されています。CySA+の受験にあたり、それらがアドバンテージになったのでしょうか。
安田様: Security+、CASP を取得していることは、両方ともアドバンテージになりました。情報セキュリティの基礎的な用語は、Security+がカバーしていますし、Security+ を取得するにあたり、CompTIAさんの認定資格でいうところの、A+やNetwork+ に関する知識も身に着ける必要があるので、ITの基礎と、情報セキュリティの基礎を支えてくれている印象があります。CASPは、経営視点となるガバナンス思考に加え、脆弱性評価やペネトレーションテストによる情報セキュリティリスクの定量的な測定や全体把握を行う思考がありましたので、組織全体の情報セキュリティの維持に関するスキルを支えてくれました。これら2つの認定資格を取得していることで、CySA+ の受験準備期間は、短時間で済みましたしね。
 

CompTIAは今年より、CompTIA Stackable Certification制度を始めました。取得しているCompTIA認定資格(ただしCEバージョンに限る)の組み合わせにより、新たに認定を付与する取り組みです。

安田様は、取得されている認定資格から「CompTIA Cybersecurity Career Pathway」において以下二つのクレデンシャルを取得されました。
・ CompTIA Security Analytics Professional (Security+ / CSA+)
・ CompTIA Security Analytics Expert (Security+ / CSA+ / CASP)

CompTIA: CompTIA Stackable Certificationは、取得者のキャリア成長へのコミットメントを証明するものです。取得者側から見て、また、マネジメント側から見て、このような制度の有効性をどのように評価されますか。

安田様: とても興味深い制度が開始されたと思っています。取得者側から見ると、この制度は、単に新しい称号が付与されるだけだと感じる方も多いかもしれませんが、マネジメント側から見ると、明確に取得者のキャリアパスと能力を把握することができますので、適切に期待する能力を保有している担当者を適切な部署に配置することができるようになると思います。よく言われる情報セキュリティの資格を保有していても、現場で機能しない担当者、例えば、IT環境の前で手が動かない人や現場で指揮する担当者が的外れな発言をして現場を混乱させるようなことを耳にします。
人材の能力を可視化するのは困難なことですが、この制度により、マネジメント層は、組織を編成する前段階で、適切な人材起用をするための判断材料が手に入るのはありたがいと思いますね。また、取得者側のメリットについては、自分のキャリアと能力を客観的に証明することが期待できると思います。取得者がやりたい仕事につける機会が増え、転職時のキャリア証明に使用できるのでないかと思います。ま〜とにかくカッコウがよいですね(笑)

 
またCompTIAでは、サイバーセキュリティスキルの習得を目指すITプロフェッショナルに対し、以下のようなサイバーセキュリティキャリアパスを推奨しています。
サイバーセキュリティ人材の育成という観点から、国内の現状について教えてください。CSIRTの構築が多くの組織で課題となっていますが、資格の役割やキャリアパスなど、どのような検討がされているのでしょうか。
安田様: CSIRTを構築している企業事例ですが、社内の人事制度と資格取得を関連付けている組織が増えてきていると思います。人事制度と関連づけることで、情報セキュリティの職責を担う部署には、特定の資格を保有していないと、異動や昇進ができなかったりしていますね。また、さらなる上級資格を取得するためには、組織内の実務経験や基礎能力を証明する資格取得を複数要求する事例を聞きます。組織全体の情報セキュリティの維持に貢献するCSIRT担当者を組織は必要としているわけですから、それなりのパフォーマンスを出せるように、複数年の現場のキャリアと基礎的な資格取得を推奨していますね。中には、能力がない担当者を集めて、名ばかりCSIRTを先に構築している企業もあるようですが…ぜひ、CySA+を取得してから、CSIRTを構築してもらいたいですね。
 
そうですか。組織の情報セキュリティを扱うには実務経験とそれを証明する認定資格が必要。そうした考えはグローバルに共通した認識ですね。ところで、上のキャリアパスにもありますが、新資格CompTIA PenTest+のベータ試験が実施されています。CySA+がインシデント検出と対処によるディフェンス(防御的役割)に重点を置く一方で、PenTest+は、侵入テストと脆弱性評価によるオフェンス(攻撃的役割)に重点を置いています。ぜひ、こちらの認定資格も揃えていただければと期待していますが、いかがでしょうか。
安田様: そうですね…CASPといい、CySA+といい、タフな認定資格だったので、もうそろそろ良いかなと思っているところでした。ただ、PenTest+については、興味がある分野ですし、実態として、ここ数年、攻撃者の侵入方法に大きな変化がありましたので、攻撃される可能性を排除するアドバイスをするためにも、取得を前向きに考えてみたいと思います。
 
ぜひご検討のほどお願いいたします。では最後に、今後サイバーセキュリティのキャリアを目指される方々にメッセージやアドバイス等ありましたらお願いいたします。
安田様: サイバーセキュリティの分野は多岐にわたりますが、情報システムセキュリティの基礎を積み上げていき、たくさんの現場をご経験いただくことで、僕のようになれます。焦る必要もありませんし、スキルを向上させる飛び道具もありませんので、丁寧に基礎知識を固めていってください。また、実務経験もキャリア形成に必要となりますので、誰のためのサイバーセキュリティなのかを常にご配慮いただくと、困難な現場を乗り越えることができると思います。僕もまだまだ努力をする領域が多岐にわたりますので、皆さんの応援、よろしくお願いいたします。

 

CompTIAより
CompTIA CySA+は、2017年2月に英語配信がスタート。日本語配信は2017年6月にスタートしました。本試験はセキュリティアナリストの実務アナリティクスを詳細に扱い、さらにディフェンススキルに焦点を置いています。試験詳細はこちらからご確認ください。
https://www.comptia.jp/cont_certif_csaplus_cs0-001.html 

CompTIAが推奨するサイバーセキュリティキャリアパスでは、CompTIA Security+が中心的な認定資格となり、サイバーセキュリティ業務で必要となるコア知識を確立します。これが踏み切台となり、職務経験やニーズ、または興味に応じCySA+やCASPへとパスを広げることが可能となります。

インタビューにご協力いただいた安田様にはこの場をお借りしお礼申し上げます。今後の益々のご活躍を心よりお祈りしております。