「PPT(People, Process, Technology)」と「セキュリティ認定資格」②

みなさん、こんにちは。
ビジネス開発本部応用技術部の上原です。

前回はPPTにおいての、「プロセス(Process)」「技術(Technology)」について書いてきました。

今回の第２回目は人(People)に対する認定で「現在最も価値があると考えられるセキュリティ認定(Certification)は何か」についてお伝えしていきます。

セキュリティ「人(People)」の認定(Certification)

セキュリティ「人(People)」の認定(Certification)に重きを置いていると考えられる団体と、その認定資格を紹介します。

• (ISC)²　CISSP（公認情報システムセキュリティプロフェッショナル）CISSP認定資格とは、(ISC)²（International Information Systems Security Certification Consortium）※読み（アイエスシースクエア）が認定している国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。
  大手ヘルスケアサービス企業やその他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされており、世界各国で136,482名（2019年5月31日現在）がCISSP認定資格を保持しています。
  https://japan.isc2.org/

• SANS　GIACSANS Instituteでは、セキュリティプロフェッショナルの技術やスキルを客観的に証明する必要性から、GIAC（Global Information AssuranceCertification）試験を1999年に創設しました。
  SANSのトレーニングプログラムとGIAC認定試験は、Security Essentials、セキュリティ監査、侵入検知、インシデント・ハンドリング、ファイアウォール、フォレンジック、 Windows OS、Unix/Linux OSなど、入門レベルから高度な専門性を要求される分野までのすべてをカバーしています。
  GIACは、実社会で真に通用するコンピュータ、ネットワーク、およびソフトウェアセキュリティのスキルを認定するものです（受験可能期間は4か月、トレーニングを受講しなくてもGIACの受験は可能です）。また、認定の有効期間は4年で、認定を継続するためには再受験が求められます。
  https://www.sans-japan.jp/giac/indexl

• ISACA　CISA（公認情報システム監査人）CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。
  情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。日本には３０年程前に紹介されました。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実践的資格として評価を受けています。
  http://www.isaca.gr.jp/cisa/

• 情報処理推進機構（IPA）　情報処理安全確保支援士、セキュリティマネジメント試験「情報処理安全確保支援士」とは、サイバーセキュリティ対策を推進する人材の国家資格です。
  サイバーセキュリティ対策の重要性が社会的に高まる中で、それを担う人材の育成・確保のために、2016年10月に「情報処理の促進に関する法律」が改正され『国家資格』が誕生しました。
  https://www.ipa.go.jp/siensi/index.html

• Cisco Systems系　CCNA Security、CCNP Security、CCIE SecurityCisco社認定資格CCXX Security（XXの部分はNA、NP、IEが入ります）は、ルーター、スイッチ、ファイアウォール、認証サーバーなどのセキュリティ製品の役割と連携について問うてきますし、何よりも特徴的なのは、これらの製品の本来正しく動作すべき姿=ベストプラクティスについて、設計視点・構築視点・運用視点から理解しているかどうかを技術認定の範囲としています。
  https://www.cisco.com/c/ja_jp/training-events/training-certifications.html

• PaloAlto Networks系 PCNSE(Firewall)、PSE(Firewall)Palo Alto networks社認定資格は、同社の主力製品である次世代ファイアウォールPAシリーズの最適な設計・構築方法を問うてくるのはもちろんのこと、インターネット上で流行っている最新マルウェアに対して、PAシリーズを使用し、どのような設定方法で具体的に検知・防御するかまでを技術認定の範囲としています。
  https://www.paloaltonetworks.com/services/education/certification

「メリットしかない」、セキュリティグローバル資格CISSP

セキュリティ人財を視点に置くとグローバルCertificationが注目されています。

CISSP認定資格は、2004年6月に米国規格協会（ANSI）よりISO/IEC17024の認定を受け、資格制度の全てのプラクティスがグローバルに認められ、認定資格試験としての信頼度がより高くなりました。この資格は、情報セキュリティの共通言語とも言える『(ISC)² CISSP CBK』を理解している情報セキュリティ・プロフェッショナルのみに与えられる資格です。CISSP認定資格の取得は、国内外において、個人および所属組織の信用・信頼の獲得に繋がります。

また、認定資格の勉強を通して、セキュリティ制御と運用に関する幅広い知識とスキルが身に付きます。これらの知識は「セキュリティコンサルタント」や「セキュリティアーキテクト」と言われる人財になるには必須のものです。CISSP有資格者は、「ガバナンスとコンプライアンスの違いについて」や「防御的制御と検知的制御の運用特性について」や「ペネトレーションテストと脆弱性診断テストの違いについて」などを、多角的に説明できる能力を持っていることになります。

ネットワンにおいても、社内に「セキュリティアーキテクト」を増やすべく、次の取組も行っています。

(ISC)² CISSP Report
ビジネス拡大に向け「セキュリティ匠の会」を立ち上げCISSP資格を有する社員を増やして顧客の要望に応える
ネットワンシステムズ株式会社

また、次のリンクでは、CISSPを中心においたセキュリティ認定資格位置付け参考マップが記載されています。（リンク先PDF資料の35ページをご参照ください）

＜参考＞
｢サイバーセキュリティの進化と今必要とされるセキュリティ人財～攻撃者を迎え撃つ強靭なセキュリティプロフェッショナル～｣
NRIセキュアテクノロジーズ株式会社 与儀 大輔 氏

「圧倒的な現場力」、メーカー系資格の強み

メーカーの特定のスキルを認定する資格は、前述の「セキュリティの広い知識とスキルを問う資格試験」とは打って変わって、「現在最新のテクノロジーを使って、スキルを駆使し、如何に構築できるかを問う資格試験」となります。

先に挙げた「CISSP」は、セキュリティを高いレベルで論理的かつ全体的に捉えることができる人を認定する資格でしたが、CISSPを取得している人が「何かセキュリティシステムを具体的に設計・構築できるか」（※ここではこれをセキュリティエンジニアリングと呼ぶことにします）ということに関しては「できない」場合が多いと考えられます。これはCISSPが目指しているところが設計・構築よりもハイレベル・前工程にフォーカスしているからです。

これに対して、まるで職人のように「具体的なハマり所や、工程に関わる工数まで把握してセキュリティエンジニアリングできるか」に強く「できる」と言えるようになる資格はメーカー系資格だと考えます。

このことから、これらメーカーの資格を取得できるエンジニアは、具体的なエンジニアリングが「できる」と認定されることになります。

• ※　セキュリティエンジニアリング（CISSPのドメインの説明から）：セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。

メーカー系セキュリティ資格最高峰「CCIE Security」について

私がネットワンに中途入社した2008年のときから、ずっと関わってきたCisco社のファイアウォール製品であるASAですが、この製品を誰よりもエンジニアリングできることを証明する資格は、同社の最高峰資格のCCIE Securityです。

私は自身のエンジニアとしての軌跡の証明のために、このCCIE Securityを取得したく、長年やらなきゃいけないリストに掲げていましたが、やっとのこと2019年5月にラボ試験に合格し、晴れてCCIE Security有資格者となりました。

これからチャレンジをするほかのエンジニアの方のためにも、どれほどの勉強工数がかかるかを申しますと、筆記試験からチャレンジをカウントすれば、私は25ヶ月間もかかりました。（LABだけの勉強工数は13ヶ月です。）

他のメーカー資格に類を見ないほどの勉強工数がかかりますが、合格したあとの自信と、周りからの賞賛、喜びはひとしおです。

価値についての別の記事からのリンクも紹介します。

＜参考＞

どんな状況・要望にも応えられる現場力が身に付く：

最強のネットワーク／セキュリティエンジニアを生み出すシスコ「CCIE Security」の秘密とは？

また、私が考える合格済みIT系資格難易度と、勉強工数を下記に図示します。

（この他にもmanagement系資格やtechnology系資格をいくつか取得していますが、記憶に薄いので割愛します）

• 取得済み資格 難易度-系統マップ

• 取得済み資格 勉強期間(年度4月始まり)

　第２回目まとめ

今回は視点を人（People）に置き、認定資格についてご紹介しました。最後まで読んでいただきありがとうございました。

身近にチャレンジできる資格取得の内容だったので、ご興味を持っていただきやすかったと思います。

個人を認定する資格は、なりたいセキュリティ人財が「セキュリティコンサルタント」や「セキュリティーアーキテクト」なのか、「セキュリティエンジニア」なのかによって、チャレンジするべき資格も異なってきます。

ご自身が身に着けたい知識・スキルは何か、また組織からあなたが期待されている役割は何かを見定めて、是非チャレンジしていただければと思います。

次回は、「ほんとうに必要なセキュリティ人財ってどんな人のことを指しているのか」と「セキュリティ運用の実態」について記事を書いていきます。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。