CompTIA認定資格活用インタビュー
目指せ!エンタープライズセキュリティのエキスパート!
CompTIA Advanced Security Practitioner (CASP)認定資格取得
 
CompTIA認定資格者インタビュー第21回は、企業における情報セキュリティの評価から改善提案等のコンサルティングサービスを提供するS&Jコンサルティング株式会社 執行役員 サイバーセキュリティ事業本部 本部長 安田 良明様にお話をお伺いしました。

安田様は、CISSP、CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャー)を始めとする様々なセキュリティ認定資格を保有するセキュリティのエキスパートです。また、SME(サブジェクト・マター・エキスパート)として、CompTIA認定資格を開発する際にご協力をいただいています。

S&Jコンサルティング株式会社
情報セキュリティに関するコンサルティングや診断、復旧等のサービスを提供。またサイバー捜査官向けの研修なども提供している。
会社名の「S&J」は、「千里眼と順風耳」に由来し、通常業務の中からセキュリティに関する兆候を探り、インシデントが起こらないように対策を打ち、インシデントの発生時には、迅速に対応し被害を最小限に食い止めるようなサービスを提供したいという思いが込められています。
http://sandj.jp/index.html
 
CompTIA(以下、グレー部分はCompTIA )
平素は、認定資格の開発にご協力をいただきありがとうございます。
この度、CompTIA Advanced Security Practitioner (CASP)認定資格に合格されたとお伺いして、ぜひお話をお伺いできればと思っています。
まずは、この認定資格試験を受験された感想をお伺いできればと思います。

【安田様】
試験自体は、CompTIAらしくとても実践的な問題が多く出題されていると思いました。昨今では、セキュリティインシデントは、企業内で部門を横断し様々なIT環境で発生しています。また、発生を防ぐための予防という意味でも、起こりうるセキュリティインシデントを予測して横断的に予防策を実装する必要があります。この試験では、Enterprise Securityに重きが置かれ、こういった状況を想定している問題が出題されていたと思います。

 
ありがとうございます。
この資格は、現在のCompTIA認定資格のラインナップの中で、唯一エキスパート向けの認定資格として提供されている認定資格です。安田様は、CompTIA Security+も取得されていらっしゃいますが、2つの認定資格の違いはどのように感じられましたか。
【安田様】
対象となる人材が、だいぶ異なると感じました。CompTIA Security+は、セキュリティを管理する人材には、必須として取得しておいてもらいたいような基本的なことが学べる認定資格だと思います。対して、CASPは、かなり経験年数を積んだ人材が取得する認定資格という感じです。ただ、企業のセキュリティを総合的に管理する人材などは、こういった認定資格を取得していただきたいとは思います。
 
なるほど。
実は、CASPは、配信開始当初、日本語試験の配信を検討していました。ただ、多くの皆様から、こういったエキスパート認定資格は、英語での受験も必要なのではないかというお声をいただき、現時点では英語試験のみの配信となっています。この点については、いかがお考えですか。
【安田様】
同感ですね。ITは、ますますグローバル化が進んでいます。テクノロジーは、万国共通ですし、またセキュリティインシデントの多くは、海外からの攻撃といったものが多いのも事実です。こういった観点から見れば、CASPを受験されるような経験値の高いエンジニアは、セキュリティ用語を英語でも理解をしているということも、ますます必須になってくると思います。私も、通常業務では、英語の資料や文書というのを多く目にしています。ただ、試験となるとちょっと厳しかったのは事実ですけどね。(笑)
 
そうですね。試験となると時間も限られますし、結構なプレッシャーですよね。
現時点で、CASPは、トレーニング教材などが日本語では提供されていないのですが、試験に際してどのように勉強をされたのですか。
【安田様】
そうなんですよ。トレーニング教材がなかったこともありますが、現時点での自分の力試しという意味も込めて、特に試験に向けたトレーニングというのはしませんでした。もちろん、どのような項目が出題されるのかは出題範囲でチェックしました。実際に出題された試験の内容は、自分の日常業務でイメージできるような問題も多く、現場で実践した方法や経験値を元に回答しました。
 

それは素晴らしいですね。
CompTIA認定資格では、「実務能力」という言葉を使っているのですが、テクニカル的なスキルだけではなく、どのように現場で対応できるかといったスキルなども総合的に評価するような資格試験の作りをしています。そういった意味では、安田様の実務能力は素晴らしく高かったということですね。
安田様は、他のセキュリティ認定資格も多く取得されていますが、これらの認定資格とCASPを比較してどのような感想をお持ちでいらっしゃいますか。

【安田様】
CASPも他の認定資格と同様にEnterprise Securityに関する知識と技術を要求していましたが、唯一、セキュリティインシデントに対する実践的なテクニカルスキルを要求してきました。これは、Security+などでも採用されているシミュレーションテストによるものです。シミュレーションテストでは、エンタープライズ環境で進行している様々なセキュリティインシデントのシナリオが与えられ、インシデントの掌握、緩和策や解決策の実施をハンズオンで対応する必要がありました。
CASPは、口先だけではなく、手が動かなければまったく太刀打ちができないタフな試験内容だと思いますので、現場対応ができるエキスパートを認定するのに相応しい内容だと感じました。

是非、我こそはセキュリティエキスパートだと思っている方やグローバルでサイバーセキュリティの役割を担う方には、CASPにチャレンジしていただきたいですね。

 
ありがとうございました。
 
【CompTIAより】
2011年9月の提供開始以来、必要とされるスキルがとても高いことと、英語試験のみの提供ということもあり、日本国内では、まだまだ認定者の少ない資格の一つです。
CompTIA Security+は、セキュリティ関連の2年間の業務経験をスキルセットとし認定資格試験が開発されています。これに対して、CASPは、10年間のIT管理者としての業務経験と、5年間のセキュリティ管理者としての業務経験がスキルセットとして開発されています。
かなり高いスキルを求められますが、セキュリティ事故の多い昨今では、こういったスキルを持つ人材を育成していくことが、企業にとっても重要なセキュリティ要素の一つだと考えています。


最後になりましたが、快くインタビューに応じてくださいました安田様には、この場をお借りしてお礼申し上げます。ありがとうございました。今後の益々のご活躍を心よりお祈りしております。