セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ“できるセキュリティ人材”向けの資格4選【後編】

巧妙な手口の攻撃に迅速かつ的確に対策を講じるには、高度なセキュリティ知識が欠かせない。セキュリティ担当者がスキルアップとキャリアアップをするための認定資格を紹介しよう。

2024年04月22日 07時00分 公開
[Rob ShaplandTechTarget]

 ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が活発になっていることを背景にして、売り手市場が続くセキュリティ人材。とはいえセキュリティ担当者としてキャリアアップを図るには、継続的に専門性を高めていくことが求められる。

 高度な知識とスキルを持っていることを示す手段の一つが認定資格の取得だ。セキュリティ担当者が“次のステップ”を踏むためには、どのような資格を取得すればよいのか。主要な4つのセキュリティ認定資格のうち、3つ目と4つ目を取り上げる。

実力派の「セキュリティエンジニア」ならどの“認定資格”を取得する?

3.CREST「CRIA」(CREST Registered Intrusion Analyst)

 英国のセキュリティ団体The Council of Registered Ethical Security Testers(CREST)が提供しているのが「CRIA」(CREST Registered Intrusion Analyst)だ。中級レベルで、攻撃を受けた場合の対処法を学ぶことができる。CRIAは以下の内容を網羅する。

  • インシデント年表
  • セキュリティから考えた通信プロトコルの基礎知識
  • 侵入分析ツールなど各種セキュリティツールの分類
  • ファイアウォールやVPN(仮想プライベートネットワーク)の基礎知識
  • クライアントOS「Windows」とアプリケーションのファイル構造
  • 行動分析

 CRIAの試験は現在、英国のCREST試験センターのみで受験できる。試験時間は2.5時間だ。150問(選択式問題、自由記述問題、実技試験)で構成される。合格に必要な正解率は60%以上だ。受験者はCRESTの初級コース「CREST Practitioner Intrusion Analyst」(CPIA)を有する他、セキュリティ分野で3年以上の実務経験があること要件になっている。

4.CompTIA「CySA+」(CompTIA Cybersecurity Analyst)

 IT業界団体CompTIAが提供している「CySA+」(CompTIA Cybersecurity Analyst)は、中級レベルでインシデント対処法を学習できるコースだ。ログ解析をはじめ、攻撃を見極めるための知識を身に付けることができる。インシデント対処のレポート作成も学べる。CySA+は2024年からは、クラウド技術やWebアプリケーションのセキュリティに関する内容が追加された。

 CySA+の内容は以下の4つの領域に分かれている。

  • セキュリティオペレーション
    • ログ解析、ファイル構造、クラウドシステムのアーキテクチャ、ゼロトラストセキュリティ、暗号化技術、データ保護、IDおよびアクセス管理(IAM)などを学習
  • 脆弱(ぜいじゃく)性管理
    • 脆弱性を発見し、脆弱性情報を管理するための知識を得る。脆弱性検知ツールの使い方やスキャン手法を学び、脆弱性対策を講じるためのノウハウも習得
  • インシデント対処
    • 米国のIT研究団体MITREが提供している「MITRE ATT&CK」(攻撃の戦術を分析してノウハウ化したナレッジベース)や、セキュリティ関連のオープンソースソフトウェア(OSS)コミュニティーOWASP(Open Web Application Security Project)によるフレームワークの知識を取得
  • レポート作成
    • インシデント対処のレポート作成を学習。法執行機関や顧客、メディアなどに攻撃について知らせる際のコミュニケーション方法も学習

 試験の時間は165分だ。最大85問の問題(選択式問題、実技形式の問題)で構成される。900点満点中750点以上で合格となる。CompTIAはCySA+の受験者に、4年間以上のセキュリティの実務経験の保有を推奨している。


 インシデント対処に限らず、セキュリティの包括的な知識を得られる資格もある。例えば、以下の資格が挙げられる。これらを追加で取得することは、セキュリティ担当者がキャリアアップを図る上で有効だと考えられる。

  • ISC2の「CISSP」(Certified Information Systems Security Professional)
  • ISACAの「CISM」(Certified Information Security Manager)
  • ISACAの「CISA」(Certified Information Systems Auditor)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news214.png

月額2000円から使える次世代DOOH配信システム フリークアウトグループ会社が提供開始
Ultra FreakOutは、デジタルサイネージ配信システム「Maroon」の正式版の提供を開始した。

news066.jpg

AIが検出したZ世代のコミュニケーション特性――コグニティ調査
商談や打ち合わせといったビジネスコミュニケーションにおいて、Z世代は他の世代と比較し...

news155.png

インバウンド事業者向けに動画で多言語コンテンツ ベーシックが制作支援サービスを提供開始
ベーシックとこんにちハローは、インバウンド需要向けのコンテンツ制作支援を目的とした...