セキュリティ認定資格ガイド

CompTIAのセキュリティ認定資格
「Security+」に挑戦

吉村 睦美
CompTIA日本支局
アシスタントアカウントマネージャー
2005/10/7

  CompTIA(コンピュータ技術産業協会)は1982年に設立された非営利のグローバルIT業界組織です。欧米を中心に14拠点(日本も含む)を持ち、メンバー企業として89カ国で2万社以上の会員が参加しています。

 CompTIAでは現在11種類の個人向け認定資格を提供しています。例えば、PC運用・管理の“実務基盤”とされる知識やスキルをソフトウェア/ハードウェア両面から問う「A+」、ネットワーク技術に携わる職種において必要とされる知識、スキル、問題解決能力、業務遂行能力を問う「Network+」など、世界中で60万人を超える認定者が存在しています。

 今回紹介する「Security+」は、人為的エラーで被る損害を最小限に抑える技術面での「備え」または改善の提案ができる人材や、全社員に対するセキュリティポリシーの策定および浸透、教育の提案ができる人材を養成するために、ありとあらゆる分野におけるセキュリティに関する考えが網羅され出題される認定資格です。

 本稿では、Security+とはどのような認定資格なのか、そして社員が取得することで企業のセキュリティに対してどのように役立つのかについて紹介したいと思います。実際に、いくつかの企業で社員のセキュリティ対応力の底上げのために、社員研修の一環として取り入れています。

 最後にSecurity+のサンプル問題をいくつか載せておきますので、ぜひ腕試しをしてみてください。

 セキュリティエラーの原因は人的要因

 まず、企業におけるITセキュリティへの取り組み、もしくは意識について見ていきましょう。CompTIA本部では、2004年12月から2005年1月にかけて「セキュリティベンチマーク調査」を実施しました。

 これはセキュリティ違反、セキュリティに対する意識、セキュリティに関するトレーニングや認定資格に焦点を当てたリサーチで、489人(メンバー企業101社、非メンバー企業388社)の回答を得ました。このうち半数以上はマネージャ以上の意思決定をされる立場にいました。

図1 回答者の社内における役割

 アンケート項目の1つ「ITセキュリティ違反の原因は」では、大半が「人為的エラー」を挙げています。

図2 ITセキュリティ違反の原因は?

 そして、「人為的エラー」と回答した企業の多くはITセキュリティに関する知識不足(従業員の手順ミスを含む)やトレーニング不足が原因としています。また、企業内でITセキュリティに関するポリシーが浸透していないことも挙げられています。

図3 人為的エラーの原因は?

 企業内でITセキュリティ違反による問題が発生した場合、企業は解決するためのコストや人為的作業、そして一番困難な作業である社会的信用の回復といった多くの問題を抱えます。これは昨今の報道でも明らかです。ちなみに、解決のためのコストは従業員数が多くなるほど大きくなり、「5000ドル以上のコストが発生した」と回答した44%が1000人以上の従業員数を抱える企業でした。

 セキュリティに関するトレーニングが不足している

 しかし、企業におけるリスク管理について調査したところ、企業の全ITスタッフのうちセキュリティトレーニングを受けている割合は少ないことが分かりました。一方、セキュリティトレーニングがセキュリティ環境を改善すると答えた企業が全回答者の84%にも達します。

 このことから、多くの企業はセキュリティ違反で被る損害をITスタッフへのセキュリティトレーニングにより最小限に抑えることができると考えているにもかかわらず、実際には十分に教育が行われていないということが読み取れます。例えば、ITスタッフに対して意識向上のためのセキュリティトレーニングを実施する計画があるものの、実際にはトレーニングを行っていない企業は49%を占めました。

 セキュリティトレーニングによるITセキュリティの改善を行った際、実感としてどれだけ経費削減につながったか調査したところ、平均値と中央値に大幅な違いが見られました。これは、リスクマネジメントとしてのセキュリティ対策の価値やトレーニングに対する投資の評価に大きな差があることを示しており、問題が発生してから初めて事の重大さを知るセキュリティならではの結果と考えます。特に、問題が発生していない際の過小評価を中央値で垣間見ることができます。

 
回答の平均値
回答の中央値

セキュリティトレーニングに関するROI(投資利益率)

回答数:100

24万3605.05ドル
1万ドル

 調査結果全体を通して、深刻なセキュリティ問題が発生しないとセキュリティに対する「備え」が甘く、結果として人材育成や投資を過小評価する企業が多いことが分かりました。

 
1/3

Index
CompTIAのセキュリティ認定資格「Security+」に挑戦
Page1
セキュリティエラーの原因は人的要因
セキュリティに関するトレーニングが不足している
  Page2
「実務能力」が問われる「Security+」
  Page3
「職業としてのIT」能力を問うサンプル問題

関連リンク
  @IT資格攻略 Security+

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 「セキュリティリサーチャー」って何をする人? (2017/5/26)
     ネットにはさまざまな脅威や脆弱性の情報もあふれている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか
  • マルウェアを防ぐには出入口対策から――複数のセキュリティ技術で多層防御する (2017/5/24)
    人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
  • セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン (2017/5/16)
    「脅威の侵入を100%防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。
  • 無線LANのただ乗りに「無罪判決」の驚き (2017/5/11)
    2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH