Special
» 2016年02月18日 10時00分 UPDATE

生まれつきの「セキュリティ人材」なんていない:知識とスキルを問う認定資格「CompTIA Security+」

サイバー攻撃の増加を背景に、企業におけるセキュリティ対策の優先順位は高まっている。だが、対策実施に当たって大きな壁となるのが「セキュリティ人材不足」だ。CompTIAでは、セキュリティ専門家に必要な知識とスキルを備えていることを示す認定資格「CompTIA Security+」を通じて、この問題の解決を図ろうとしている。

[PR/@IT]
PR

セキュリティ技術者の約14万人が「スキル不足」

 標的型攻撃に起因する情報漏えいやランサムウェア、DDoS攻撃と、企業を取り巻く脅威は枚挙にいとまがない。こうした状況を背景に、サイバーセキュリティ対策の重要性はこれまでになく高まっている。だが、対策を推進する際の大きな壁となるのが「人手不足」「人材不足」だ。

 例えば情報処理推進機構(IPA)が2014年7月にまとめた「情報セキュリティ人材の育成に関する基礎調査」によると、国内で情報セキュリティに従事している技術者は約23万人。まだ約2.2万人不足している他、現在従事している技術者のうち約14万人はスキル不足で、何らかの教育やトレーニングが必要だとしている。

 欧米を中心に世界的に活動しているIT業界団体、CompTIAが2015年4月に行った「インターナショナルに見るテクノロジー導入とワークフォース調査」からも、セキュリティ人材に対する需要と現状とのギャップは明らかだ。これによると日本企業は「ITセキュリティ」を優先事項に挙げる一方で、「新たな脅威について把握していない」「セキュリティ脅威に対応するITスタッフが不足している」といった課題を抱えているという。

comptia2016_a.jpg CompTIA グローバルビジネスデベロップメント担当シニアバイスプレジデント、ジョン・マグリンチィ氏

 「セキュリティ対策が必要だが、任せられる人材がいない」――これは日本だけに限った話ではないようだ。「不幸なことに、情報を盗もうと試みる攻撃者はわれわれの一歩先を行っている。セキュリティに関するスキルを備えた人材を見つけるのが困難であるという問題は、IT業界全体の課題となっている」と、CompTIA グローバルビジネスデベロップメント担当シニアバイスプレジデント、ジョン・マグリンチィ氏は指摘する。IT産業全体が若手エンジニア不足という課題を抱えるが、特に人材が足りないのがITセキュリティの分野だという。

 一方で、セキュリティ管理に関して相応の経験を積んできたにもかかわらず、スキルに見合う待遇が得られていない、もっと活躍の場がほしいと感じるエンジニアもいるはずだ。セキュリティ人材に関するこのような不幸なギャップが、サイバー犯罪者に付け入る隙を与えている。

「ITセキュリティ専門家」に必要なスキルを問う「Security+」

comptia2016_b.jpg CompTIA プロダクトデベロップメント担当シニアディレクター、ジェームス・スタンガー氏

 CompTIAではこうした状況に対し、ITセキュリティ全般に関する知識とスキルを備えたプロフェッショナルであることを示す認定資格「CompTIA Security+」を提供することで、セキュリティ人材の育成とキャリア形成を支援している。「セキュリティのプロは生まれながらのものではなく、育てることができる」と、CompTIAのプロダクトデベロップメント担当シニアディレクター、ジェームス・スタンガー氏は述べる。

 Security+は、企業のセキュリティ管理者やエンジニア、セキュリティアーキテクトを目指す技術者に必要なスキルを示す認定資格だ。2年程度の実務経験のある情報セキュリティエンジニアを想定し、ネットワークセキュリティ、脅威や脆弱性、アプリケーション、データ、ホスティングのセキュリティ、アクセスコントロールや認証、暗号化、コンプライアンスといった幅広い分野の知識とスキルを問う内容となっている。

 この資格は、「ITセキュリティの専門家」として、現場でセキュリティ業務を進めていくのに最低限必要なスキルセットを満たしていることを示すものだ。「セキュリティ人材の中でも最も足りないと言われているのが、エントリーレベルから中堅レベルの技術者だ。Security+の内容はここを満たすものになっている」とマグリンチィ氏はいう。

 試験は知識を問うものだけとは限らない。シミュレーション環境で回答を実行する問題も含まれており、教科書で知った事柄だけでなく、実務経験も求められる。「正しいツール、正しい戦略を用いて、ハッカーに対抗していけるかどうかを問うことで、新たな職場に配属されても一日目から仕事に生かせる」(スタンガー氏)

 Security+の特徴の一つは、「特定のベンダー、特定の機器に偏らない、ベンダーニュートラルな資格であること」(マグリンチィ氏)。加えて、ISO/ANSI 17011、17024といった国際標準を取得しており、世界的に通用する内容となっていることも特徴だ。

 せっかく人材を採用しても、企業側が期待する能力と本人のスキルセットにギャップがあったという不幸な事態は少なくない。現場の経験が豊富なエンジニアだからといって、まんべんなくスキルセットを満たせているとは限らない。Security+のような資格を通じて、国際的な標準に基づくスキルを持つことを明確に示すことができれば、そうした不幸な出会いは避けることができる。

comptia2016_c.jpg CompTIA アジア太平洋地域担当バイスプレジデント、デニス・クォック氏

 現に、米国防総省では、情報システムに携わる人材には、外部の契約会社も含め全てSecurity+の取得を義務付けているという。「日本国内でも、NTTコミュニケーションズやソフトバンクといった大手企業がSecurity+をスキルフレームワークに組み込み、人材育成に活用している」(CompTIA アジア太平洋地域担当バイスプレジデント、デニス・クォック氏)。

 次のステージを求めるエンジニアにとっても、Security+はキャリアパスのスタートラインとして最適だ。セキュリティプロフェッショナルとしての基本を身に付けた上で、例えば、よりマネジメントレベル向けの資格である「CISSP」のような他の資格も取得し、キャリアアップしていくことも可能だ。企業側、エンジニア側双方にこうした利点が評価され、この2年でSecurity+の資格取得者は倍増しているという。

クラウド、モバイル……変化する環境に応じたアップデートも

 IT環境は常に変化している。セキュリティもまた、この変化に応じて変わらなければならない。

 「クラウドの活用が広がり、ユーザーがさまざまなパワフルなデバイスを使うようになった今、境界型防御はもはやこれまでのように機能しなくなっており、エンドユーザーが脅威にさらされている。しかも、シグネチャに基づく従来型の防御では検出が困難な脅威も増加している」とスタンガー氏。Security+の試験内容も、こうした環境や脅威の変化に応じてアップデートしている。

 「10年前ならば、ステートフルパケットインスペクションのルールの書き方さえ分かっていれば十分だった。だが今ではクラウドプロバイダーとうまくコミュニケーションを取りながら、データを適切に暗号化し、認証を実施できるかといった内容も問うようにしている」(スタンガー氏)。データ分析や暗号化などの比重も高まっており、こうした変化を適宜反映することで、現場に求められるスキルをカバーしていく。IoTやビッグデータ、制御システム(SCADA)といった分野も出題範囲に盛り込んでいるそうだ。

 そもそもCompTIAは、1982年の設立以来、体系的な教育に基づきITスキルを評価する認定資格を提供し、人材の育成に取り組んできた。今では世界118カ国のIT企業やトレーニングサービス事業者、教育機関など4000社以上がメンバーとなり、リサーチや標準化、資格認定活動などに取り組んでいる。

 CompTIAが実施している認定資格はSecurity+だけでなく、ITシステム運用管理者としての基本的なスキルを問う「A+」にはじまり、サーバの構築・運用を支援する「Server+」、ネットワーク管理者向けの「Network+」、クラウド運用のための「Cloud+」など、多岐にわたっている。マグリンチィ氏は「セキュリティは、これからの新しいインフラにおいて鍵をなす要素だ」とし、他の一連の認定資格でもセキュリティに関する内容を強化しているとした。

 同時に、ITプロフェッショナルだけでなく、一般ユーザーのセキュリティスキル向上に向けた取り組みも始めている。「Wi-Fiを利用する際に注意すべきことは何か」「どんなパスワードを使うべきか」といった事柄を理解し、セキュリティ向上に貢献できる「よきサイバー市民」育成を手助けするプログラム「CyberSecure」の日本語対応を、2016年中に計画しているという。

漏えいによるダメージ分を、スキルを備えた人材への投資に

 もう一つ、セキュリティのプロに求められる要素がある。

 「企業のセキュリティエンジニアには、フォレンジックやリスク分析、インシデント対応といったさまざまな専門家と連携し、協調するスキルも求められる。一つの分野の達人になるというよりも、さまざまな分野とコーディネートできるスキルが重要だ」(スタンガー氏)

 CompTIAではこうした「ソフトスキル」を磨くための認定資格「Project+」も用意している。ネゴシエーションやチームワーク、時間管理、プロジェクトの工程管理に必要なスキルや手法を磨くものだ。

 最終的には「ITスキルの知識を背景に、経営層に問題点を分かりやすく説明できるビジネスコミュニケーション能力も重要だ。技術の話をビジネスの話に翻訳し、ビジネス上の要求を技術におとし込めるようになれば、企業の目的達成に大きく役立つだろう」(スタンガー氏)

 米国でのTarget社のケースや日本年金機構の情報漏えいに見られるように、ひとたびセキュリティ事故が発生した場合の損害は、企業や組織のあり方そのものにも大きな影響を及ぼすようになってきた。そうした事態を避けるには、やはり「人」への投資が欠かせない。

 「情報漏えいによって生じるコストを考えれば、その分をセキュリティスキルを持った人材の育成などに充て、対策する方がいい。日本においても、漏えい発生によって生じる損害を節約するため、スキルを備えたスペシャリストを雇い、対策する方向に向かうだろう」とマグリンチィ氏は述べ、その中でSecurity+を役立ててほしいとしている。

今だけ! CompTIA FREE RETAKEキャンペーン

IT関連のスキルの中でも注目度の高い「セキュリティ」と「クラウド」。CompTIAは、これらの認定資格取得を目指す皆様をバックアップするキャンペーンを実施しています。キャンペーン期間中に、キャンペーン用バウチャーを購入/受験した方は、不合格の場合、2度目の試験を「無料」で受験できます!

 →詳細はこちらから

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:CompTIA
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年3月17日

IT関連のスキルの中でも注目度の高い「セキュリティ」と「クラウド」。CompTIAは、これらの認定資格取得を目指す皆様をバックアップするキャンペーンを実施しています。キャンペーン期間中に、キャンペーン用バウチャーを購入/受験した方は、不合格の場合、2度目の試験を「無料」で受験できます!

セキュリティ/クラウド認定資格

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。