CCNAの合格点は? 試験改定後の傾向や勉強方法を解説
2022.04.27
クラウドエンジニアとは|高い将来性と年収からキャリアパスまで解説
2021.07.14
セキュリティエンジニアとして役割を果たすには、どの資格を取得すべきかわからないという人もいるのではないでしょうか。
現代社会は「情報社会」とも言われるほど、情報の重要性や、侵害されたときの影響は大きくなっています。
情報のセキュリティを維持することに対する意識がひときわ高まっているため、セキュリティエンジニアの必要性が上昇しているトレンドにあり、将来的にも活躍できる場所が多くなる見通しです。
セキュリティエンジニアに求められているスキルや、そのスキルを持つことを証明するためにおすすめの資格を紹介していくので、セキュリティエンジニアとしてどういった資格を取得すればよいのかしっかりと理解しましょう。
目次
開く- セキュリティエンジニアとは
- ネット上のサイバーセキュリティリスクから企業を守る職業
- セキュリティエンジニア5つの仕事内容
- 顧客からヒアリングする「調査・企画・提案」
- サイバーセキュリティリスクがないようになシステムを考える「設計」
- 実際にサイバーセキュリティシステムを作る「実装」
- 脆弱性や問題がないか確かめる「システムテスト」
- 完成したシステムを管理する「運用・保守」
- 未経験からセキュリティエンジニアになるために必要な知識
- ネットワークに関する知識
- 暗号化や認証技術に関する知識
- サーバー・OS・ネットワークに関する知識
- プログラミングに関する知識
- サイバーセキュリティに関する法的な知識
- サイバー攻撃と防御手法に関する知識
- サイバーセキュリティマネジメントと運用に関する知識
- コミュニケーション能力
- 高いモラルと信頼性
- セキュリティ資格が注目される理由
- サイバーセキュリティ強化が求められている
- キャリアアップに最適
- セキュリティエンジニアになりたい人におすすめの資格
- 未経験者向け
- IT専門職向け
- セキュリティ専門職向け
- クラウド技術者向け
- セキュリティエンジニアのキャリアパス
- セキュリティ管理者
- セキュリティコンサルタント
- セキュリティアナリスト
- ホワイトハッカー
- セキュリティエンジニアの資格を取得するための勉強法
- オンラインで勉強する
- 学校に通う
- 勉強会やセミナーに参加する
- セキュリティエンジニアの極みを目指した資格取得で、ステップアップ
あなたにはどれが向いてる? 今すぐエンジニア診断してみよう
「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
- 診断できるのは8種類のエンジニア
- たった30秒で自分に合うエンジニアがわかる
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
セキュリティエンジニアとは
セキュリティエンジニアとは、情報のセキュリティを維持するためのシステム設計などをおこなうエンジニア職です。
導入したシステムに十分でない点がないかを調べて詳細を明らかにし、サイバー攻撃に対応することで、企業のスムーズな業務を手助けする必要があるため、セキュリティシステム・ネットワークに関する知識・スキルが求められています。
最近では企業をターゲットにした非常に巧みなサイバー攻撃に移行しているため、企業を守るためにセキュリティエンジニアへの注目がますます高まってきています。
ネット上のサイバーセキュリティリスクから企業を守る職業
インターネットが広く行き渡ったことで生活が便利になっていくと同時に、仕事の場面ではクラウドツールを効果的に使う企業が多くなってきました。
セキュリティに欠陥があり、情報漏洩などが発生してしまうと企業には多大なる損害が発生します。そのため、業務上クラウドツールを使うのであれば、綿密なセキュリティ対策をすることでシステムに存在する安全上の欠陥とならないように万全の注意を払わなければなりません。
いくつもの個人情報漏洩・ハッキング被害の報道も年ごとに膨れ上がり、企業のセキュリティ対策について、よく知りたいという積極的な気持ちや今のままでは危ないという不安や緊迫感も高まっています。
企業における資産として価値のある情報を守るため、さらにセキュリティ面をより優れた状態へと対策するのがセキュリティエンジニアです。
「この企業は信じられる」という他人からの評価が失われないよう継続的に危険を塞ぐことが求められています。そのため、立場上当然負わなければならない任務や義務も大きいですが、その分やりがいを感じられる仕事です。
自分の適性が分かる!今すぐエンジニア診断してみよう
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
エンジニア診断ツールの特徴
- 8種類のエンジニアから自分に合うものがわかる
- たった30秒で自分の適性が知れる
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
セキュリティエンジニア5つの仕事内容
情報漏洩・サイバー攻撃などの不慮の事態をあらかじめ防止することが、セキュリティエンジニアの仕事の中で極めて重要な役割です。
まずは現在の企業のセキュリティ状態をしっかりと理解して、課題や問題点を洗い出し、
その対策を考える必要があります。
セキュリティエンジニアは、きわめて大切で重要な秘密情報を守るシステムを構築するとともに、ごくまれにあるサイバー攻撃を被った際に適切な処置もとる仕事です。
顧客からヒアリングする「調査・企画・提案」
セキュリティエンジニアは専門家の立場から、構築されているシステムの相談にのったり指導したりすることで、どういったセキュリティが必要不可欠であるかを企画・提案します。
企画・提案をするときにつながりのある各部門の担当者と互いに連絡をとり協力して、セキュリティの十分でない点をしっかりと理解することが必要です。
どんなセキュリティが対象となるシステムに必要か、ひとつひとつの要素に分けて分析したうえで、メリット・デメリットをいろいろな角度からしっかり考えて顧客に意見を提出します。
セキュリティエンジニアはこのような業務の責任をとる立場にあるため、セキュリティコンサルタントと呼ばれることもあります。
サイバーセキュリティリスクがないようになシステムを考える「設計」
セキュリティ方針が決定したら、それに続いてセキュリティに配慮したシステムの設計を実施します。
技術者としてセキュリティ設計する場合は、ネットワークは言うまでもなく、ハードウェア・ソフトウェア・システムの運用にいたるまで、すべてを広範囲にわたって設計しなければなりません。
システム・ネットワークのセキュリティ上に欠陥があると、サイバー攻撃を容認することに結びつくため、解決すべき重大な事柄になってしまいます。
いろいろな種類のシステムを問題なく使えるようにするため、設計の際はすべてを理解して最適なセキュリティ設計を実施できる幅広い知識が求められます。
実際にサイバーセキュリティシステムを作る「実装」
設計した内容に基づいてセキュリティを実装する場合は、ほとんど設計と同じで範囲が広く、ネットワーク機器の設定だけでなく、セキュリティを考えのうちに含めたプログラミングもおこないます。
Webアプリケーションの場合は、システムやサーバー機器によって発生した問題などを適切に処理するための方法が異なるため、最も適している実装かを正しく認識して評価する能力が改めて試されます。
それゆえにセキュリティに対して詳しく知っていることが必要となり、どんなときでも一番新しいセキュリティ情報に更新することで、状況に合っていてふさわしく実装する必要があります。
脆弱性や問題がないか確かめる「システムテスト」
セキュリティが実装されたシステムに、外からは見えない状態で存在する脆弱性がないか、ある基準をもとに、異常の有無・適不適をしっかり調べて事実を確認します。
こういったネットワーク・OS・Webアプリケーションの実情を調べて、脆弱性の有無を判断するシステムテストは、脆弱性診断・脆弱性検査とも呼ばれます。
セキュリティが充実して完全であるかを検証するために、「ペネトレーションテスト」と呼ばれる、実際にシステムを攻撃して不正アクセスを試みることもあります。
実際にシステムをしっかり調べて事実を確認するだけでなく、細かいところまで丁寧にプログラミング言語によって書かれた、コンピューター用プログラムのチェックも実施されます。
完成したシステムを管理する「運用・保守」
セキュリティ導入後はシステムにサイバー攻撃や問題が発生することから守り、危険がなく安心して管理することも重要な業務のひとつです。
日ごとに新しい手法でのサイバー攻撃は発生しているので、常に最新のセキュリティ情報を入手することで、必要になった場合に随時OS・アプリケーションのアップデートを実施していきます。
サイバー攻撃が起こったときに備えた調査・改善を実施して、もしサイバー攻撃があった場合には、セキュリティエンジニアも対処にあたります。
30秒で結果がわかる! エンジニア診断を無料で受けよう
「エンジニア診断ツール」を使うと、12の質問に答えるだけで、8種類のエンジニアの中から一番自分に向いているエンジニアがわかります。
さらに、「エンジニア診断」は無料で受けられて、診断結果には向いているエンジニアの仕事内容が記載されているので、自分の適性をその場で理解することが可能です。
「エンジニア診断」を活用して、エンジニア就職に一歩近づきましょう。
未経験からセキュリティエンジニアになるために必要な知識
セキュリティエンジニアに求められているスキルは行政機構によって制定されており、種類・性質・系統などに従って16項目に分けられています。
| 項番 | 大分類 | 中分類 | |
|---|---|---|---|
| 1 | 情報セキュリティマネジメント | マネジメント技術、リスク分析技術、 情報セキュリティポリシー、情報セキュリティ監査、 関連知識 |
|
| 2 | ネットワークインフラセキュリティ | ネットワーク設計技術、 ネットワークアクセスコントロールVPN、 無線 LAN |
|
| 3 | アプリケーション セキュリティ |
Web | Web サーバに対する脅威、Web サーバのセキュリティ対策、 Web サーバの運用、Web アプリケーション設計、 Web ブラウザのセキュリティ、 Web 関連プロトコルの基礎知識 |
| 電子メール | メールサーバに対する脅威、メールサーバのセキュリティ対策、 メールクライアントのセキュリティ、 メールサーバの運用 |
||
| DNS | DNS サーバに対する脅威、 DNS サーバセキュリティ対策と構成、 DNS サーバの運用 |
||
| 4 | OS セキュリティ | Unix | ログ管理、パッチ適用管理、 サービスの管理、ファイルシステム管理、 アカウント管理 |
| Windows | 構成・設定管理、パッチ適用管理、監査、 ログ管理、プロセス管理、サービス管理、 ファイルシステム管理、アカウント管理、 ネットワーク保護 |
||
| Trusted OS | 強制アクセス制御の概念(MAC) | ||
| 5 | ファイアウォール | ファイアウォールの導入・運用、NAT、 ネットワークアクセスコントロール |
|
| 6 | 侵入検知 | 侵入検知システムの導入・運用、 侵入検知システムの機能、 検出アルゴリズム、検出方法 |
|
| 7 | ウィルス | 管理体制、感染後のポリシ、 予防ポリシ、発病、 検出方法と駆除、感染、種類 |
|
| 8 | セキュアプログラミング技法 | Web アプリケーション、DB、 アプリケーション全般、XML、 PHP、JAVA、Perl、VB/ASP、 C/C++、UNIX、 コンパイラ・仮想マシン、Windows |
|
| 9 | セキュリティ運用 | 定常運用時のセキュリティ確保、異常時対応、 運用関連情報(脆弱性情報・対策情報・攻撃情報・被害情報) |
|
| 10 | セキュリティプロトコル | アプリケーション層、トランスポート層、 ネットワーク層、データリンク層 |
|
| 11 | 認証 | パスワード認証、バイオメトリック認証、 認証デバイス、認証プロトコル、 Web 認証、システム認証、 シングルサインオン |
|
| 12 | PKI | PKIの利用、証明書と認証、証明書失効、 信頼モデル、契約モデル、 記述とデータ方式、規格、 公開リポジトリ、認証局の構築と運用、 法的枠組み、PKIの要素技術、 PKIが提供するサービス |
|
| 13 | 暗号 | 公開鍵暗号、共通鍵暗号、 ハッシュ関数、暗号用乱数、 鍵管理、ゼロ知識証明、その他の暗号方式、 暗号解読・強度評価 |
|
| 14 | 電子署名 | 電子署名の利用、電子署名の要素技術、 電子署名の仕組み、電子署名の利点 |
|
| 15 | 不正アクセス手法 | 遠隔不正侵入・操作、 サービスの停止、盗聴行為、偵察行為、 情報収集、古典的不正アクセス技法 |
|
| 16 | 法令・規格 | 基準・指針・ガイドライン等、 法令、国際標準規格、 国際ガイドライン |
|
参考サイト:情報セキュリティ専門家の育成
上記に挙げたスキルの中から、セキュリティエンジニアとしてきわめて大切なスキルを、具体的な要素に置き換えて紹介していきます。
ネットワークに関する知識
サイバー攻撃全体の中でネットワークに狙いを定めている割合が大きいため、セキュリティエンジニアは言うまでもなく、ネットワークに関する知識が必要です。
セキュリティエンジニアは、ネットワークにおいてターゲットにされる可能性がある場所を正しく捉えたうえで、第三者による不正な操作・盗聴・情報の窃取の攻撃を受けないように各種対応する必要があります。
セキュリティシステムの導入後、もしサイバー攻撃を受けてしまったら、ネットワークの異常を起こさずに、正常に稼働・機能していることを確認する取り組みもセキュリティエンジニアの業務のひとつです。
いちばん新しいセキュリティについての情報をまとめて、サイバー攻撃が起こったときに備えるための行動が求められているので、セキュリティエンジニアはサイバー攻撃の動向や手法に関する知識を理解しておく必要があります。
暗号化や認証技術に関する知識
セキュリティエンジニアはサイバー攻撃から侵されたり、害が及ぶことを防ぐために、ネットワーク通信で使われている暗号化・認証技術に関する情報や技術を理解しておくと良いでしょう。
とりわけ暗号化の意味・内容をのみこむには数学を認識・理解していることも求められ、危険がなく安心な通信を実現するために、設計段階で決定された仕様をもとに機能をサーバーなどに組み込んでいくスキルも求められています。
サーバー・OS・ネットワークに関する知識
第三者による不正な操作・盗聴・情報の窃取の攻撃を受けないようする方法は、OS(Operating System)の種類によっても違いがあるため、セキュリティエンジニアにはOSに関連している認識・理解していることも必要です。
できる範囲内でいろいろな種類のOSに関する最大の知識を保有することは大切です。特に、Windows・macOSについてはしっかり理解しておきましょう。
パソコンやサーバーによって組み込まれているOSは異なるため、セキュリティを構築する方法も異なってくるので、広い範囲の認識・理解していることがもっとも必要であり重要視されます。
プログラミングに関する知識
セキュリティエンジニアはいろいろな要素を含めて、セキュリティをよく考えたシステム構築を実施する必要があるため、プログラミングに関係する認識・理解も必要となります。
セキュアプログラミングするプログラマが、脆弱性を細かく修正したり、繰り返し粘り強く改善して、完成度を高めたコーディングすることが重要であることはわかりきったことで言うまでもありません。
しかしながら実際のところ、それだけではセキュアプログラミングは難しく、下記のようにそれぞれの工程でしっかりと理解すべきポイントがあるのです。
・要件定義の段階で要件とセキュリティバグは分けて考える
・開発標準の整備とメンバーの教育でチーム力をアップする
・コスト要因となるレビューとテストを計画的におこなう
セキュリティエンジニアとしてプログラミング言語の高度な能力を習得する際は、プログラミング言語として主流となっている、C・PHP・JavaScript・Python言語などのニーズのある言語のスキルを獲得するといいでしょう。
サイバーセキュリティに関する法的な知識
セキュリティエンジニアは、他人のIDやパスワードを無断で使うなどして、利用権限のないコンピューターを不正に使うことも多くなります。そのため、セキュリティ対策をしていると、法律に違反する行為であったと判断される場合もあるため、セキュリティに関連する法律の認識・理解を自分のものとしておくことが必要です。
セキュリティについての法律は次から次へと新しくなっていく可能性もあるため、セキュリティエンジニアとして与えられた業務をしながら法律を学び理解しておきましょう。
セキュリティエンジニアを目標に据えている人は、業務の中でのトラブルを避けるためにも、セキュリティに関する法律を勉強しておいても努力がむだになることはないでしょう。
サイバー攻撃と防御手法に関する知識
高度な方法や仕組みの傾向がさまざまに分かれるサイバー攻撃は、方法論だけでは防御しきれないですが、基本となるような対策を怠ってよいということではありません。
OSやミドルウエアを中心として、潜在的に脆弱性が発生する可能性があるソフトウエアは、絶えず最新のバージョンにアップデートしておくことが基本的な対策となるのです。
こういった基礎となる状況に対応するための手段をとったうえで、つねに危険を意識した「ゼロトラストネットワーク」に対応したセキュリティを、これまでの境界型の防御とともに用いる形で足りないものを補うことを検討するとよいでしょう。
サイバーセキュリティマネジメントと運用に関する知識
企業がどこまでサイバーセキュリティに全力で対応するかによって、将来発生しうる事故とその影響の大きさは変化します。
サイバーセキュリティは、企業全体のリスクマネジメントとしてIT部門を含めた複数の部門にまたがって解決すべき問題です。
情報漏洩ひとつとっても、個人情報だけの問題ではなく、企業情報の漏洩などが長期的な企業戦略にどう影響するかを考えなくてはなりません。
社会全体の様子や雰囲気の変化もはなはだしいため、それを敏感に把握してキャッチアップするために、組織間で互いに連絡をとり協力することも重要です。
コミュニケーション能力
他の部門との連携もあるため、他者との良好な人間関係を構築・維持するために必要な能力である、コミュニケーション能力は特に上流工程を引き受けるセキュリティコンサルタントには必要不可欠です。
セキュリティエンジニアは、何かセキュリティでのトラブルがあった際に、何が原因かを探るために話を聞くことも重要な仕事の一つです。
しかし、人は何かトラブルに陥った際にわからない点について、問いただされることが得意でない場合が多くあります。システムが想定通りに動かない状況、その状況の原因となっている問題を聞いてさぐり出すためにも、相手が焦らず話せるような場を作れるコミュニケーション能力が求められるでしょう。
高いモラルと信頼性
セキュリティエンジニアは、良好な人間関係を構築・維持するために高いモラルと信頼性を持つということもとても重要です。
ほかならぬその人に情報の機密性・完全性・可用性を維持することを企業はすべてをまかせるわけなので、信用する気持ちを持つことができない人間には依頼できません。
同様に日常生活に即した道徳的に正しい行動をとれる、高い倫理や道徳意識も必要となり、そう簡単には手段や方法が見つからない事柄なので、日常の生活態度がもっとも必要であり重要視されます。
エンジニア診断を受けて最初の1歩を踏み出そう!
エンジニアになるかどうか悩んでいる人は、まず「エンジニア診断ツール」を活用するのがおすすめです。
「エンジニア診断」を使うと、どのエンジニアに自分が向いているのか、簡単に理解することができます。約30秒で診断できるので、気軽に利用してみてください。
エンジニア診断ツールでわかること
- 8種類のエンジニアの中で最も自分に適性があるもの
- 向いていると診断されたエンジニアの仕事内容
- 向いているエンジニアで活躍するために必要な知識や資格
- 向いているエンジニアの年収の目安
セキュリティ資格が注目される理由
セキュリティエンジニアの必要性がなくなる傾向になる可能性は低く、将来性は高いといえます。
企業の「個人情報の漏洩」は、ニュースとして大きく取り上げられていることを目にしたこともある人も多いのではないでしょうか。
ヨーロッパのGDPR(EU一般データ保護規則)をはじめとして、あらゆる人間社会における個人情報の取り扱いについて、非常に厳格な法律が役に立つように準備されたり整えられつつあります。
それゆえに企業における個人情報の管理方法が法律に抵触していたり、個人情報・機密情報が第三者に知られると、信頼できないというイメージを世間が持つことになってしまいます。
その一方で、ここ数年サイバー攻撃の方法や手段が高度になっており、企業は自らでセキュリティを損なわないよう継続的に危険をブロックすることが必要です。
特にITが生活や福祉に関する活動の基盤となるインフラとして機能しており、今後も広がって大きくなることが予想されているため、これらと関係を持つセキュリティエンジニアの将来性は高いと言われています。
サイバーセキュリティ強化が求められている
地球上のすべての地域・国家はインターネットで結びつき、国・地方公共団体・民間企業においてITを役立てるようにうまく使って活動しなくてはならないため、さらにセキュリティ面を強化することが企業に要求されていることが大きな理由のひとつです。
その一方で、組織が保有しているきわめて大切な機密情報・個人情報をターゲットとしたたサイバー攻撃は急激に増加して、非常に巧みで悪意のある攻撃によって情報を侵されたり、害が及ばないように防ぐことの重要度が増しています。
端的に言えば、人びとが生活している現実の世の中にとって、さらにセキュリティ面を強化することは最優先の課題となっているのです。
悪意のある攻撃から情報を守るためには、セキュリティの専門的な知識を持った有能な人物が必要となり、非常に巧みな攻撃にも対応できるようにセキュリティ資格も細かく分かれるため、より実用性を重視した知識とスキルが認められるようになってきています。
キャリアアップに最適
組織の中で情報のセキュリティを維持することの重要性は大きくなっています。
しかしながら、現時点の日本企業では資格を有する人でなければ、情報セキュリティの業務に携わることを禁じられているところまでには至っていないのです。
その一方で、海外市場への進出を重視しているグローバルな視点をもつ企業の中には、セキュリティ関連の業務に携わるうえで、提示された情報セキュリティ資格取得が必須事項となっている企業も現れています。
以前にも増して情報セキュリティの技術的な能力が、最も大きな重要性を持つことが予測されているのです。
セキュリティの知識やスキルを持っていることで、キャリアアップのための転職がほかよりも条件がよくなったり、社内における上位の位置関係を努力して自分のものにする契機になることが十分に考えられます。
セキュリティエンジニアになりたい人におすすめの資格
資格を取得していなくともセキュリティエンジニアになることはできますが、範囲が広い知識・技術的な能力が求められるため、資格を取得することが推奨されます。
未経験者について言えば、実際の具体的な仕事に携わった経験がないため、積極的に転職活動の相手に訴えかける要素として、資格はひときわ効果的です。
セキュリティに関連する資格にもいろいろな種類があるため、効果の高い資格を取得して技術的な能力が証明できるようにしましょう。
言うまでもないことですが、一定レベルの知識やスキルを持っていないと資格取得ができないため、セキュリティにかかわりを持っている資格を持つことで、顧客に対して安堵感をもたせることができます。
関連記事:エンジニアのキャリアアップを目指す方必見!IT資格と難易度
未経験者向け
未経験者の人は、比較的幅広い範囲のセキュリティに関わる知識が問われるため、下記に挙げる資格から取得することをおすすめします。
これらの資格を取得していれば、セキュリティ知識全般に関連するスキルを明らかにできるため、始めにとる資格としておすすめです。
情報セキュリティマネジメント(SG)
情報セキュリティマネジメント試験は、組織において重要な秘密情報が侵されたり、害が及ばないように防ぐ情報管理の最も大切な部分として、おこなうべきことをやり遂げるために必要なスキルを認めるための試験です。
情報セキュリティマネジメントの企画・活用・評定・改良を実施することで、組織の情報セキュリティを確実に手に入れて、脅威から組織を毀損しないよう継続的に危険を塞ぐための知識が判断・評価される内容です。
情報セキュリティマネジメント試験の対象になる人は、情報システムを使う部門で情報セキュリティの指導者となり、業務を実施していくうえで想定される不正な操作・盗聴・情報の窃取を受けないようにする人物となります。
組織で定められた情報資産のセキュリティ対策について、組織内の規定と一致したセキュリティを継続的に保ちつつ、より良い方向に改めていきます。
個人情報保護士認定試験
個人情報保護士認定試験は、個人情報を損失や危害から守ることに関する知識が問われる資格試験です。
組織にとってこのうえなく不可欠な解決するべき問題である個人情報保護は、知識とスキルを持ち合わせた有能な人物を育て上げることが必要不可欠となっています。
個人情報保護士認定試験では、個人情報保護法・マイナンバー法について知っている内容、個人情報を損失や危害から守るための方法・手段と、情報の機密性・完全性・可用性を維持する認識・理解が改めて試されます。
試験は会場で試験を受けるほか、オンラインで試験を受けることもできて、インターネット環境が整っている会社・自宅などでも試験が受けられます。
情報セキュリティ管理士認定試験
情報セキュリティ管理士認定試験は、専門的知識を必要とする人向けではなく、総務・人事担当者などの情報セキュリティに関連した知識を持っている必要がある人にぴったりと当てはまる資格試験となっています。
第三者による不正な操作・盗聴・情報の窃取の攻撃を受けないようにするために解決するべき問題が、担当者の行為が原因で、発生してしまう情報漏洩を防ぎとめることです。
情報漏洩の大部分はヒューマンエラーから生じたものであり、担当者のセキュリティに対する関心・態度・自覚意識を向上させるためにも、意識して目を向けられている資格のひとつとなっています。
SPREAD情報セキュリティサポーター能力検定
インターネットが広く行き渡ったインターネットが形成する情報社会の中で、多くの人たちをセキュリティにおける脅威から守るための施策のひとつとして、SPREAD情報セキュリティサポーターを認めることが始まりました。
SPREAD情報セキュリティサポーター能力検定は、情報の機密性・完全性・可用性を維持できるサポーターに求められる能力を一定の基準に基づいて検査して、合格・不合格を決める試験です。
試験の内容はセキュリティ面の支援が必要な多くの人たちに、コンピューターやインターネットを通じた情報の取り扱いにおける各種対応を助言できる水準です。
IT専門職向け
最近の数年間、IT業界の勢いが伸び広がって盛んになったことによって、IT人材の必要性が高まっているのと同時に、人手不足などを伏線として、今まで以上に知識・技術を持っている人材が要求されるようになったのです。
これをきっかけとして、より一層のキャリアアップを目指したい人に向けて、IT専門職として是非とも取得しておきたい、推奨できる資格をピックアップして紹介します。
情報処理安全確保支援士(SC)
情報処理安全確保支援士は、組織の情報の機密性・完全性・可用性を維持するための資格試験です。
サイバー領域に精通した知識とスキルを効果的に使って、サイバー領域に関するセキュリティ対策の分析から、状況によく合った取り扱いを助言できる知識が試験として問われる内容となっています。
情報処理安全確保支援士試験の対象者は、情報セキュリティの目指す方向ならびに諸規程の策定などを考えて決める人です。
現実的な内容や形式をともなっているセキュリティ対策を達成するために、システム運用で発生した事故やトラブルなどへの対策を講じ、解決されるまでの間を管理する体制の構築を推進します。
Cyber Ops Associate
シスコ技術者認定は技術者の能力を判断して決定する世界共通の認定基準で、段階に合わせて、エントリー・アソシエイト・プロフェッショナル・エキスパート・アーキテクトに区別して分けられ、8種類のスキルに合わせた試験があります。
Cyber Ops Associateは、アソシエイトレベルの認定でサイバーセキュリティ・オペレーション・キャリアの出発点の段階にあたる試験で認定期間は3年間です。
関連記事:Cisco技術者認定資格とは? 種類・難易度と受験方法を解説
Cyber Ops Professional
Cyber Ops Professionalは専門的レベルの認定で、組織のセキュリティオペレーション・インシデント・クラウドセキュリティなどのセキュリティにかかわりを持っているシニアアナリストとして機能する人材としてふさわしい高度な知識とスキルを持っていることが証明できます。
試験はコア試験とコンセントレーション試験の2種類で、認定期間は3年間です。
CCNP Security
CCNP Securityは専門的レベルの認定で、3年から5年のセキュリティソリューションを実装したことによって得られた知識や技能を持つ有能な人物に受験が強く勧められています。
専門化された技術知識の範囲に合わせたセキュリティソリューションスキルを明らかにする試験は、コア試験とコンセントレーション試験の2種類で認定期間は3年間となり、コンセントレーション試験は下記の専門化された技術知識の範囲のうちひとつを選びます。
| コンセントレーション試験 | |
|---|---|
| SNCF (Securing Networks with Cisco Firepower) |
Cisco Firepower® Threat Defense および Firepower® 7000/8000 シリーズ バーチャル機器 |
| SISE (Implementing and Configuring Cisco Identity Services Engine) |
Cisco Identify Services Engine に関する アーキテクチャおよび展開・ポリシーのエンフォースメント・ Web認証・ゲストサービス・プロファイラ・ BYOD・エンドポイントコンプライアンス・ ネットワークアクセスデバイスアドミニストレーション |
| SESA (Securing Email with Cisco Email Security Appliance) |
Cisco Email Security Appliance に関するアドミニストレーション・ スパムコントロールおよびアンチスパム・ メッセージフィルタ・データ損失の防止・LDAP・ 電子メール認証および暗号化・システム検疫および配信方式 |
| SWSA (Securing the Web with Cisco Web Security Appliance) |
Cisco Web Security Appliance に関する、 プロキシサービス・認証・復号化のポリシー・ 差別化されたトラフィックアクセスポリシー およびアイデンティティプロファイル・使用許可コントロールの設定・ マルウェア防御・データセキュリティおよびデータ損失の防止 |
| SVPN (Implementing Secure Solutions with Virtual Private Networks) |
セキュアな通信・アーキテクチャ・トラブルシューティングなど、 VPNソリューションでセキュリティ保護されたリモート通信の実装 |
| SAUTO (Implementing Automation for Cisco Security Solutions) |
プログラミングの概念・RESTful API・ データモデル・プロトコル・ ファイアウォール・Web・DNS・クラウドおよび電子メールのセキュリティ・ ISEなどセキュリティ自動化ソリューションの実装 |
CCNPについては、こちらの記事でさらに詳しく解説しています。
関連記事:CCNPとは|年収・難易度から勉強方法までを実例付きで解説
CCIE Security
CCIE Securityは最も上の経験を積んで、高度の技術をもっているレベルの認定で、あらゆる人間社会のテクノロジー業界でいちばん優れたものとして信頼されている認定のひとつです。
5年から7年のセキュリティテクノロジーならびにソリューションの設計・導入・運用・最適化によって得られた知識や技能を持つ有能な人物に受験が勧められています。
試験はクオリファイ試験とラボ試験の2種類で、認定期間は3年間です。
関連記事:CCIEとは? 取得難易度や平均年収・勉強時間を解説!
Comp TIA Security+
Comp TIA Security+は世界中に通用するほどすぐれている認定資格のひとつで、ITセキュリティのより高い資格・能力を身につけるための基礎に関連する知識とスキルを認証する資格です。
実用を重視する技術的な能力を明らかにする資格であり、下記のようにそれぞれに様子が異なる職務に適用します。
・セキュリティ管理者
・システム管理者
・ヘルプデスクマネージャー
・ヘルプデスクアナリスト
・ネットワークエンジニア
・クラウドエンジニア
・セキュリティエンジニア
・セキュリティアナリスト
・Dev Ops開発者
・ソフトウェア開発者
・IT監査人
・ITプロジェクトマネージャー
ISO17024標準に基づいており、アメリカ合衆国では国防総省によって指令8140 / 8570.01-Mで必要になる条件が満たされるため、多くの企業・組織で受け入れられています。
SPREAD情報セキュリティマイスター能力検定
SPREAD情報セキュリティマイスター能力検定は、前に述べたSPREAD情報セキュリティサポーター能力検定より一段上の立場になる資格で、SPREAD一般会員であり、SPREAD情報セキュリティサポーター資格を持っている人が対象となります。
セキュリティ専門職向け
最近エンジニアの間でスキルを向上するために、意識してセキュリティ資格に目が向けられ動向や詳細が調べられ、国・民間企業においてもセキュリティ資格を取得した有能な人物の確保が実施されています。
今後、情報セキュリティの認識・理解と技術的な能力が、より一層必要とされることが予測されているので、より高い能力を身につけるための転職が有利になったり、社内におけるポジションを手に入れる契機となるでしょう。
公認情報セキュリティマネージャー(CISM)
CISMは情報セキュリティに関連しているグローバルな資格で、国内では公認情報セキュリティマネージャーと呼ばれています。
IS/ITのセキュリティと制御に関するスキルをすでに持っている人が、プレーヤーからマネージャーへ経歴を高めたい場合に適しているでしょう。
情報セキュリティにおけるエキスパートの職務についている人は、CISMの資格を取得することで関係者・取引先との連絡において明白な信頼性を高めることにつなげることができます。
世界的な規模で広く世間に認められている資格であり、これまでと異なるキャリアを見つけ出そうとしている場合でも、情報セキュリティガバナンス・情報リスク管理・情報セキュリティプログラムの開発と管理・情報セキュリティ事故管理の領域で精通している知識とスキルを満たしている証明になるでしょう。
CISM認定を授かるためには、下記のような前提となる条件があります。
・CISM試験に合格すること
・情報セキュリティと関連している5年以上の経験を有すること
・ISACA職業倫理規定
・継続専門教育(CPE)方針を逸脱せずしっかり守ること
CISSP(Certified Information Systems Security Professional)
(ISC)² は、安全で安心できるサイバー領域に関するセキュリティの世界をしっかりと打ち立てることを目的とした世界的な規模の非営利団体です。
情報の機密性・完全性・可用性を維持する知識とスキルを認定するキャリアパスや、専門領域に合わせた以下の資格を世界的な規模で提供しています。
CISSPは国際的に認定されている資格で、情報セキュリティのどれにでもあてはまる言語ともいえる「(ISC)² CISSP CBK」を理解することで、情報の機密性・完全性・可用性を維持する専門家であることを証明しています。
SSCP(Systems Security Certified Practitioner)
SSCPは情報の機密性・完全性・可用性を維持する担当者で、それによって知識や技能を得られた年数は短いですが、包括的な基準の知識とスキルを理解していることが証明できます。
また組織においてシステムの開発・運用を担当して、業務内容を情報セキュリティに限定することで専門化しているわけではないものの、情報セキュリティのエキスパート・企業の経営に携わっている人たちと意思疎通ができる知識とスキルが証明できる資格です。
CCSP(Certified Cloud Security Professional)
CCSPはクラウドコンピューティングを使ったサービスを安全に役立つようにうまく使うための知識とスキルが証明できる資格です。
クラウドを導入している組織では、クラウドサービスのセキュリティをしなやかで強いものにする対応として、CCSP資格を取得した有能な人物に全体を統制することを委ねる事例が多くなっています。
CCSPの資格を取得するためには、試験に合格するだけでなく、5年以上、ITに関連している業務に携わった経験が必要です。
クラウド技術者向け
クラウド技術者は、ITインフラの設計・構築の認識・理解が要求される仕事であるため、役に立つ資格を取得していれば、特定の立場にとらわれずにスキルを明らかにできます。
資格試験の学習を通して、知識をより深められることも、資格取得を達成の目標とするメリットのひとつといえるでしょう。
関連記事:クラウドエンジニアにおすすめの資格13選! 難易度別に紹介
AWS認定セキュリティ専門知識
AWS認定セキュリティ専門知識は、現在世界的な規模で導入されているAWS(Amazon Web Services)のセキュリティ資格で、外部からの不正アクセスやデータの不正利用を防止することに関する専門知識とスキルを証明します。
AWS認定セキュリティ専門知識は、実際に2年間以上AWSワークロード保護の具体的な仕事によって得られた知識や技能をもつセキュリティ担当者が対象です。
Microsoft Azure Security Technologies
Microsoft Azure Security TechnologiesはMicrosoftが実施しているセキュリティ資格で、多くのMicrosoft製品とサービスの中で主となるAzureについて詳しく知っている有能な人物に適しています。
セキュリティに関する構築、管理、運用を幅広く勉強することが可能です。
Microsoft Certified:Azure Security Engineer Associate
Microsoft Certified: Azure Security Engineer Associateは、さきほどのMicrosoft Azure Security Technologiesのうえに位置する資格なので、Microsoft Azure Security Technologiesを自分のものとして得た人が対象です。
セキュリティ体制をそのまま保ちつづけるため、セキュリティツールを使ってシステムの脆弱性を把握することで、不十分・不適当と思われるところを改め直します。
またサイバー攻撃の脅威に対抗する実装や、セキュリティ事故が発生したときに上位者に報告して事態の対応を引き継ぐ知識とスキルが求められています。
セキュリティエンジニアのキャリアパス
セキュリティエンジニアとして実際に成し遂げた功績を積んだ後のキャリアとしては、下記の4種類が挙げられます。
上記で紹介した職業のカテゴリは高い水準の知識とスキルが求められますが、年収も将来性も高く、やりがいのある仕事です。
働くことによって得られる結果や喜びと多くの苦労が必要とされる仕事を比較して、どのようなキャリアパスを達成の目標とするかは、それぞれ知識や経験などに基づいて結論を導き出すことが必要です。
セキュリティ管理者
セキュリティエンジニアのキャリアパスとしては、とりあえず能力として備えている知識や見識を有効に使って、セキュリティ全般の管理者になることが考えられます。
ITシステム全体のセキュリティをひとつにまとめて、プロジェクトがどの程度うまく進んでいるかを管理するほか、必要に応じて企業経営の将来を見通した方策にも加わります。
高度なセキュリティ知識のみならず、物事を取り仕切って運営・管理する力量や経営に対する豊富な知識や管理能力も求められます。
セキュリティコンサルタント
セキュリティエンジニアは高度なセキュリティの認識・理解を有効に使って、セキュリティコンサルタントになることもできます。
セキュリティコンサルタントは企業に対して、セキュリティに関連した忠告や助言をすることで、組織の中長期的な方針や計画の不十分なところを補い、物事がうまく運ぶように補佐します。
どういったセキュリティ対策の内容をさらに高めていけばよいのか、専門的な知識から意見を提出するため、セキュリティエンジニアとして成し遂げることのできる力が求められます。
言うまでもなく、最新の技術動向・組織の中長期的な方針や計画を考えのうちに含めた提案力も必要です。
セキュリティアナリスト
現在セキュリティエンジニアのキャリアパスのなかで、需要が高まっているのが、セキュリティアナリストというカテゴリです。
最近のサイバー攻撃は加害者の素性をはっきり見分けられないため、資産を特定して気配を感じさせずに攻撃する手法で、いつかわからないうちにきわめて重要な位置や役割にある情報が盗まれてしまう事例が増加しています。
サイバー攻撃が発覚した際に複雑な攻撃手法を要素や成分に分けて、構成などを明らかにすることが必要となり、きわめて大切な分析を実施するのがセキュリティアナリストです。
思考や判断が優れているセキュリティアナリストになれば、たとえ50代であっても転職市場で心がひきつけられる有能な人物である印象を与えます。
ホワイトハッカー
セキュリティエンジニアは攻撃に対する防衛であるセキュリティ対策を専門にしていますが、想像や理論でなく実地のハッキングなどの攻撃スキルを学ぶことでホワイトハッカーになれます。
ホワイトハッカーはセキュリティの脆弱性を調べて詳細を明らかにするため、程度の高い知識や技術を持つ人のニックネームであるハッカーのうち、特にその技術を善良な目的に活かすセキュリティのスペシャリストです。
すべてのセキュリティ対策に対する範囲が広く深く、見聞によって得られた知識とともに、プログラムを解析して巧妙に改良したり、コンピューターネットワークの安全性を検証したりする知識が必要になります。
セキュリティエンジニアの資格を取得するための勉強法
セキュリティに関する勉強会やセミナーは多数実施されています。無料で参加できるものもあるので、まずは参加してみると良いでしょう。
ひとりで勉強し続けるよりも第三者と意見交換をしながら勉強することで、今後必要とされる認識・理解を、自分の能力でできる範囲内で効率的に技能を身につけていくことが必要です。
関連記事:これで勉強は完璧! セキュリティエンジニアに必要な知識の会得方法
オンラインで勉強する
オンラインではセキュリティエンジニアに欠かせない広範な知識を身につけられる研究・調査の基礎となる材料などに役立つプログラムがふんだんにあります。
例を挙げると、AWSから提供されているクラウドコンピューティングを使ったサービスを活用する資料集や、第三者による侵入・攻撃、データの流出・改ざんといった不正利用を阻止して、機密性・安全性を保持することに関する動画サイトなどがあるので、効果的に使って勉強すると良いでしょう。
学校に通う
学校に通うことで、ある分野に精通している一定の教育の目的に合わせて、教育内容と学習支援を総合的に計画したものに従って、知識を身につけられます。
講座を受け持つ人からじかに教えてもらえるので、疑問に思うところがあった場合でも、疑問のあるところを解きほぐして納得のいくようにしながら、学習をはかどらせられるのが学校に通うメリットです。
通える距離に学校が存在しない場合でも、インターネット環境が整っていれば、オンラインスクールでセキュリティエンジニアの知識・スキル・価値観を新しく獲得できます。
勉強会やセミナーに参加する
セキュリティと関連している勉強会やセミナーなども実際に多くおこなわれているため、こういった勉強会に参加して、行動をともにすることでセキュリティエンジニアの知識を身につけられます。
ITを切り口にした勉強会やセミナーは、実際に日本全国でおこなわれており、最近の数年間ではオンラインでおこなわれる場合も多くなっているようです。
多くの中でいくらかは、料金を払わなくても参加できるようなセキュリティに関するセミナーもあるため、確かめてみると良いでしょう。
セキュリティエンジニアの極みを目指した資格取得で、ステップアップ
多額の資本金を有して、多数の従業員を雇用する大規模な企業はもちろん、中小企業であっても大部分がIT分野からの利益がもたらされているのが現在の状況です。
そういった中で、機密情報・個人情報を外からの危険・脅威・破壊から守るために、サイバー領域に関するセキュリティの理解や見聞によって得られた知識は不可欠なものといえます。
紹介してきたサイバーセキュリティに関する資格は、難易度が難しいものからたやすいものまで範囲が広く、受験対象者もそれぞれ違っています。
仕事の内容や役職、それだけでなく将来達成の目標とするポジションに合わせて、いちばん適している資格の取得をいろいろな角度からしっかり考えてみてください。
あなたにはどれが向いてる? 今すぐエンジニア診断してみよう
「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
- 診断できるのは8種類のエンジニア
- たった30秒で自分に合うエンジニアがわかる
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
記事の監修責任者
飯塚 寛也
- エンジニアとして移行調整・NW更改作業・クラウドシステムの設計・構築等を手掛ける。 入社2年目でネットワーク最高資格であるCCIEの筆記試験に合格。 人材開発室にてCCNA/CCNPの勉強会を50回以上開催、100名以上の合格者を輩出し、スクール事業の礎となる。
- 監修責任者からのメッセージを読む
