有望なセキュリティエンジニアになれる「クラウド認定資格」はこれだ：クラウド時代のセキュリティ認定資格10選【前編】

クラウドサービスの利用が当たり前になる中で、そのセキュリティ確保を担う人材の需要が旺盛だ。どのような認定資格を取れば、クラウド分野を扱うセキュリティエンジニアとして活躍できるのか。

[Sharon Shea，TechTarget]

　セキュリティエンジニアとしてキャリアアップを図るには、自身の実力を証明する「認定資格」の取得が有効だ。特にこれからは、クラウド系の認定資格が重要になる。ただし近年はクラウド系の認定資格の数や種類が増えており、どれを取得すればいいかを判断するのは簡単ではない。

　認定資格を選ぶポイントは、自分が興味のある分野だけではなく、雇用主の視点から見てどのようなスキルが必要なのかを考え、それに合った認定資格を選定することだ。米TechTarget編集部が厳選した「クラウドセキュリティ認定資格10選」のうち、本稿はその前半として1つ目から4つ目までを紹介する。

セキュリティエンジニアにお薦めの「クラウド認定資格」はこれだ

併せて読みたいお薦め記事

資格はキャリアアップの武器

• 将来有望なセキュリティエンジニアになれる「認定資格」はこれだ
• セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ

　認定資格を選ぶ前に、その試験に備えるに当たっての心構えをまず整理しよう。要点は以下の通りだ。

• 日頃の仕事でアンテナを張り、クラウドセキュリティについて幅広い情報を集める。
• 試験勉強は学習内容が退屈だと感じても頑張ることが重要。重要な内容をスキップするのは賢明ではない。
• 試験の前日を最終日として、余裕を持って試験勉強ができるスケジュールを立てる。

　ITの認定資格には長い歴史がある。数十年にわたって提供されている認定資格によっては、クラウドセキュリティについて少し内容を追加しただけで、網羅的に扱わないケースもある。以下では、クラウドセキュリティに特化し、幅広い知識を得られる認定資格を紹介する。

1．ISC2（International Information System Security Certification Consortium）の「CCSP」（Certified Cloud Security Professional）

　非営利団体ISC2のCCSPはクラウドセキュリティ資格の中でも知名度が高い。内容としては、クラウドインフラのセキュリティからクラウドアプリケーションのセキュリティまで、幅広いテーマを網羅している。そのため、CCSPを受ける人はそれなりの準備期間を確保して臨んだ方がいい。

　CCSP取得条件としてIT業界で最低5年の実務経験が必要だ。その中で、セキュリティ分野における最低3年の実務経験と、CCSPの下記ドメインのうち1つ以上で最低1年の実務経験が求められる。

• クラウドコンピューティングの基礎や設計方法
• クラウドデータのセキュリティ
• クラウドインフラのセキュリティ
• クラウドアプリケーションのセキュリティ
• クラウドセキュリティ運用
• 法務、リスク管理、コンプライアンス（法令順守）

　次に紹介するCSA（Cloud Security Alliance）の「CCSK」（Certificate of Cloud Security Knowledge）を持っていれば、CCSPの1つ以上のドメインにおける1年間の実務経験の代わりとして認められる。

2．CSAのCCSK

　CSAが2010年に開始したCCSKは、クラウドセキュリティに特化している。CCSPと同様、クラウド技術の幅広い知識に重点を置いているが、あくまで「初級～中級」レベルだ。受講するに当たり、実務経験といった条件はない。CCSKの以下の学習資料は、インターネットで無償で入手できる。

• 「CSA Security Guidance for Cloud Computing」
• 「CSA Cloud Controls Matrix」
• European Union Agency for Cybersecurity（ENISA）の「Cloud Computing Risk Assessment」

　CCSKは、「クラウドセキュリティに興味はあるが、CCSPの取得に必要な時間と費用はかけたくない」と考えている人にお勧めだ。内容としては、クラウドコンピューティングの基礎の他、データセキュリティや暗号化、「SECaaS」（Security as a Service）など、16分野をカバーしている。

3．ISACA・CSA共同の「CCAK」（Certificate of Cloud Auditing Knowledge）

　2021年3月、ISACAとCSAは共同で、CCAKをリリースした。CCSKの内容を補完することが目的だ。CCAKの受験者はまずCCSKを取得するよう推奨されているが、必須条件ではない。

　CCAKは特に、監査人やコンプライアンス担当、セキュリティコンサルタント、セキュリティアナリストなどを目指しているにとって有効だ。カバーしている内容は以下の通り。

• クラウドガバナンス
• クラウドコンプライアンス
• クラウドのセキュリティフレームワーク「Cloud Controls Matrix」（CCM）／セキュリティ評価のための質問集「Consensus Assessments Initiative Questionnaire」（CAIQ）
• CCMを用いたクラウドの脅威分析手法
• クラウドコンプライアンスの評価
• クラウド監査
• CSAの認証制度「STAR」

4．GIACの「GCSA」（GIAC Cloud Security Automation）

　2020年4月に開始されたGIACのGCSAは、クラウド環境においてセキュリティを担当する開発者や脅威アナリストを主な対象としている。内容には、クラウド運用管理の自動化や継続的インテグレーション／継続的デリバリー（CI/CD）、継続的モニタリングなどが含まれる。他には、「Amazon Web Services」（AWS）や「Microsoft Azure」といった主要なクラウドサービスの使用方法の知識も身に付けられる。

　GCSAは、SANS Instituteが提供する学習コース「SEC540: Cloud Security and DevSecOps Automation」をベースとしている。両方をセットで申し込むと割引が適用される。SANS Instituteの学習コースは以下の5つの分野を扱っている。

• DevOps（開発と運用の融合）におけるセキュリティオートメーション
• クラウドインフラセキュリティ
• クラウドネイティブセキュリティ運用
• マイクロサービスとサーバレスシステムのセキュリティ
• コンプライアンス

---

　後編は、クラウドセキュリティ認定資格の第2弾をお届けする。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。