有能なセキュリティエンジニアとしてキャリアアップできる「認定資格」はこれだ：専門家お墨付き「セキュリティ資格10選」【後編】

セキュリティ分野における人材のニーズは依然として旺盛だ。セキュリティのプロフェッショナルとしての道を開くためには、どの認定資格が役立つのか。

[Steve Zurier，TechTarget]

　攻撃の多様化や巧妙化、慢性的な人手不足など、セキュリティ分野にはさまざまな難題がある。企業にとっては悩ましい問題だが、セキュリティ分野でのキャリアアップを目指す人にとってはチャンスだ。

　専門スキルを身に付ければ、セキュリティのエキスパートとしてさまざまな組織で活躍し、将来有望なキャリアを形成するための土台ができる。具体的にはどのようなスキルが武器になるのか。セキュリティ専門家への取材を踏まえ、10個の認定資格を厳選した。本稿はその第2弾をお届けする。

セキュリティ分野でキャリアアップできる「認定資格10選」第2弾

併せて読みたいお薦め記事

連載：専門家お墨付き「セキュリティ資格10選」

• 前編：有能なセキュリティエンジニアであることを証明できる「認定資格」10選
• 中編：将来有望なセキュリティエンジニアになれる「認定資格」はこれだ

キャリアパスとして注目されている「セキュリティ専門家」

• 「インシデントレスポンス担当」として活躍するための“スキルと資格”はこれだ
• サッカーの母国・英国で「若手選手のセキュリティ専門家への転身」が進む“謎”

EC-Council Certified Ethical Hacker（CEH）《Practical》

　CEH（Practical）は6時間の実技試験だ。ホワイトハッカーのノウハウを利用し、セキュリティ課題の解決能力を実証することが求められる。具体的には脅威の特定、ネットワークスキャン、脆弱（ぜいじゃく）性分析、攻撃実行などのスキルが問われる。CEH（Practical）は、中編で取り上げたCEHを取得してから受けるのが一般的だ。

　試験では組織のシステムが再現された専用ツールを使い、CEHで習得した知識を応用して課題の解決策を見つけるよう求められる。合格するには70％以上のスコアが必要だ。価格は550ドル（約8万7000円）だ。CEH（Practical）の有資格者は以下のスキルを身に付けることができる。

• 攻撃の仕組みを理解する
• ネットワークスキャンを実施して脆弱性を特定する
• 各種攻撃の実行と痕跡を隠蔽（いんぺい）すること
• ウイルスやワームなど、さまざまなマルウェアを特定する
• パケットスニッフィング（通信情報の不正収集）を実行する
• WebサーバやWebアプリケーションを狙った攻撃を仕掛ける
• SQLインジェクション攻撃を仕掛ける
  • SQLインジェクションとは、SQLクエリ（データベース言語「SQL」による問い合わせ）に悪意のある操作を挿入して標的システムでの実行を可能にすること
• 標的システムに入り込むための脆弱性分析を実行する

CEH（Practical）有資格者の主な職種

• セキュリティ責任者
• 監査人
• セキュリティ担当者
• Webサイト管理者
• ネットワークインフラマネジャー

CompTIA PenTest+

　CompTIA PenTest+はセキュリティに関してある程度の知識と実務経験を持つ人を対象にしている。試験では、攻撃を受けても被害を最小限に抑えるための「レジリエンス」（回復力）のスキルが問われる。具体的にはペネトレーション（侵入）テストの実行や脆弱性の危険性の評価、セキュリティシステム管理、コンプライアンス（法令順守）理解といったスキルだ。

　試験は最大85問出題され、時間は165分。100〜900のスコア形式で合格には750スコア以上が必要だ。価格は392ドル（約6万2000円）から。

CompTIA PenTest+有資格者の主な職種

• ペネトレーション（侵入）テスト担当者
• セキュリティコンサルタント
• クラウドペネトレーションテスト担当者
• Webアプリケーションペネトレーションテスト担当者
• クラウドセキュリティスペシャリスト
• ネットワークセキュリティのスペシャリスト

Offensive Security Certified Professional（OSCP）

　OSCPはペネトレーションテスト分野に特化した形でのキャリアアップを目指す人が主な対象だ。受験するには、集中準備コースを受講することに加え、実践のスキルを身に付けることも条件だ。OSCP試験では、Offensive Securityが用意するVPN（仮想プライベートネットワーク）を使った環境において制限時間23時間45分で模擬ペネトレーションテストを実行する。

　OSCPの取得者は攻撃実行法に精通し、目的に合わせた攻撃コードの変更やデータ盗難の方法といった知識を身に付けることができる。これはホワイトハッカーの視点として重要だ。思考力や忍耐力、時間管理などのスキルも身に付く。価格は1499ドル（約23万6000円）から。

OSCP有資格者の主な職種

• ペネトレーションテスト担当者
• セキュリティ担当者
• ネットワーク管理者

CSA Certificate of Cloud Security Knowledge（CCSK）

　CCSK はCloud Security Alliance（CSA）が2011年に創設した認定資格だ。学習コースは技術（比重約7割）とビジネス（約3割）の観点からクラウドセキュリティに関する知識を習得できる。試験（教科書持ち込み可）は時間が90分で、60問の選択式問題が出題される。合格するには80％以上のスコアが必要だ。価格は395米ドル（約6万2000円）。

　CCSKを修了することで、以下のメリットが享受できる。

• クラウド研究機関からクラウドセキュリティについての実証済み専門知識を得られる
• クラウドセキュリティの専門知識を高めることで活躍の幅を広げられる
• 昇格や転職に当たり、自分の持っているスキルや知識を具体的に示せる
• クラウドセキュリティのベストプラクティス（最適な方法）を確立できる

CCSK有資格者の主な職種

• クラウド管理者
• クラウドセキュリティのアーキテクト
• クラウドエンジニア
• セキュリティ管理者
• セキュリティアナリスト
• コンプライアンスマネジャー
• セキュリティコンサルタント
• CISO（最高情報セキュリティ責任者）

CSA Certificate of Cloud Auditing Knowledge（CCAK）

　CCAKは2021年に創設。ベンダーを問わず、クラウドセキュリティの腕を磨ける。CCAKはCSAとISACA（Information Systems Audit and Control Association）によって考案されたもので、上記のCCSKでカバーされる内容に基づいてカリキュラム化されている。試験（監督付きオンライン受験）は時間が2時間で、70問の選択式問題が出題される。合格するには70％以上のスコアが必要だ。それに加えて、IT監査、セキュリティ、リスク管理、クラウドコンピューティングのいずれかの実務経験を持っている必要がある。価格（CSA／ISACA非会員）は495ドル（約7万8000円）。

　CCAKを修了すると、以下ができるようになる。

• クラウドシステムの監査とオンプレミスシステムの監査との違いを理解する
• クラウドセキュリティの評価手法が分かる
• クラウドシステムの利用によってセキュリティポリシーをどう変えなければならないかを習得する
• クラウド独特のコンプライアンス要件を理解する
• クラウドセキュリティの実施方法を学ぶ

CCAK有資格者の主な職種

• IT監査人
• CISOなど、上級のセキュリティ管理職
• データ保護責任者
• コンプライアンスマネジャー
• パートナープログラムのマネジャー
• 調達責任者
• セキュリティコンサルタント

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。