クラウドサービスの利用が当たり前になる中で、そのセキュリティ確保を担う人材の需要が旺盛だ。どのような認定資格を取れば、クラウド分野を扱うセキュリティエンジニアとして活躍できるのか。
セキュリティエンジニアとしてキャリアアップを図るには、自身の実力を証明する「認定資格」の取得が有効だ。特にこれからは、クラウド系の認定資格が重要になる。ただし近年はクラウド系の認定資格の数や種類が増えており、どれを取得すればいいかを判断するのは簡単ではない。
認定資格を選ぶポイントは、自分が興味のある分野だけではなく、雇用主の視点から見てどのようなスキルが必要なのかを考え、それに合った認定資格を選定することだ。米TechTarget編集部が厳選した「クラウドセキュリティ認定資格10選」のうち、本稿はその前半として1つ目から4つ目までを紹介する。
認定資格を選ぶ前に、その試験に備えるに当たっての心構えをまず整理しよう。要点は以下の通りだ。
ITの認定資格には長い歴史がある。数十年にわたって提供されている認定資格によっては、クラウドセキュリティについて少し内容を追加しただけで、網羅的に扱わないケースもある。以下では、クラウドセキュリティに特化し、幅広い知識を得られる認定資格を紹介する。
非営利団体ISC2のCCSPはクラウドセキュリティ資格の中でも知名度が高い。内容としては、クラウドインフラのセキュリティからクラウドアプリケーションのセキュリティまで、幅広いテーマを網羅している。そのため、CCSPを受ける人はそれなりの準備期間を確保して臨んだ方がいい。
CCSP取得条件としてIT業界で最低5年の実務経験が必要だ。その中で、セキュリティ分野における最低3年の実務経験と、CCSPの下記ドメインのうち1つ以上で最低1年の実務経験が求められる。
次に紹介するCSA(Cloud Security Alliance)の「CCSK」(Certificate of Cloud Security Knowledge)を持っていれば、CCSPの1つ以上のドメインにおける1年間の実務経験の代わりとして認められる。
CSAが2010年に開始したCCSKは、クラウドセキュリティに特化している。CCSPと同様、クラウド技術の幅広い知識に重点を置いているが、あくまで「初級~中級」レベルだ。受講するに当たり、実務経験といった条件はない。CCSKの以下の学習資料は、インターネットで無償で入手できる。
CCSKは、「クラウドセキュリティに興味はあるが、CCSPの取得に必要な時間と費用はかけたくない」と考えている人にお勧めだ。内容としては、クラウドコンピューティングの基礎の他、データセキュリティや暗号化、「SECaaS」(Security as a Service)など、16分野をカバーしている。
2021年3月、ISACAとCSAは共同で、CCAKをリリースした。CCSKの内容を補完することが目的だ。CCAKの受験者はまずCCSKを取得するよう推奨されているが、必須条件ではない。
CCAKは特に、監査人やコンプライアンス担当、セキュリティコンサルタント、セキュリティアナリストなどを目指しているにとって有効だ。カバーしている内容は以下の通り。
2020年4月に開始されたGIACのGCSAは、クラウド環境においてセキュリティを担当する開発者や脅威アナリストを主な対象としている。内容には、クラウド運用管理の自動化や継続的インテグレーション/継続的デリバリー(CI/CD)、継続的モニタリングなどが含まれる。他には、「Amazon Web Services」(AWS)や「Microsoft Azure」といった主要なクラウドサービスの使用方法の知識も身に付けられる。
GCSAは、SANS Instituteが提供する学習コース「SEC540: Cloud Security and DevSecOps Automation」をベースとしている。両方をセットで申し込むと割引が適用される。SANS Instituteの学習コースは以下の5つの分野を扱っている。
後編は、クラウドセキュリティ認定資格の第2弾をお届けする。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。
近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。
データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。
ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。
エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。