セキュリティエンジニアに求められるスキル
セキュリティエンジニアに役立つ資格を確認する前に、そもそもセキュリティエンジニアが求められるスキルを把握しましょう。セキュリティエンジニアの資格は、求められるスキルを一通り網羅した内容が試験に出題されます。
資格を取得する以外にも業務にも役立つ内容ですので、ぜひ参考にされてください。
サイバーセキュリティに関する知識
フィッシング詐欺やランサムウェアなど、さまざまな攻撃方法があり、対策方法も異なります。IPAでは「情報セキュリティ10大脅威」(※)として毎年影響が大きかったセキュリティ事案について情報を公開しています。このような情報をチェックし、サイバーセキュリティに関する知識を深めておく必要があります。
また、攻撃方法は年々複雑化しているため、最新のセキュリティ状況についても常にキャッチアップしておくことが大切です。
※IPA「情報セキュリティ10大脅威 2022」
ネットワークに関する知識
外部からのネットワーク攻撃を防ぐためには、ネットワークに関する知識が必須です。ファイアウォールやパケットフィルタなどの通信制御を理解し対応することで、第三者からの不正アクセスを防ぐことにもつながります。
昨今では、通信制御やアクセス権限をきちんと設定していなかったために、不正アクセスや情報漏洩などのインシデントが発生した事例もあります。このような事象をなくすためにも、ネットワークに関する知識を深めておきましょう。
プログラミングに関する知識
サイバー攻撃はネットワークだけでなくプログラム(ソフトウェア)の脆弱性を突いて攻撃するケースもあります。
例えば、プログラミング言語Javaで自社開発したWebアプリケーションにおいて、実行環境であるJava SEで脆弱性が発覚した場合は、その脆弱性を悪用して攻撃を受ける場合もあります。
他にも、SQLインジェクションなどアプリケーションの脆弱性を突いた攻撃もあります。これらを防ぐには、プログラミングに関する知識を深め、アプリケーション開発時に作り込む必要があります。
法関連の知識
情報セキュリティについては、さまざまなガイドラインや法律があります。例えば、以下があげられます。
-
・サイバーセキュリティ基本法
・著作権法
・電気通信事業法
・不正アクセス行為の禁止等に関する法律
セキュリティエンジニアの業務で知っておくべきなのはもちろんのこと、資格試験でも関連法規について問われます。法関連に関する知識もしっかり身につけておきましょう。
セキュリティエンジニアの仕事および必要なスキルについては、以下の記事でも解説しています。さらに詳しい情報を知りたい方は、以下の記事もあわせて参照ください。
関連記事:
セキュリティエンジニアとは?仕事内容や必要なスキルを解説
セキュリティエンジニアになるには?必要なスキルや知識も紹介
資格を取得することで得られるメリット
セキュリティエンジニアとして業務に従事するためには、必ずしも特定の資格を保有していなければならないといったルールはありません。しかし、これからセキュリティエンジニアを目指す方、現在セキュリティエンジニアとして業務に従事している多くの方が、資格の取得に励んでいます。なぜ多くのエンジニアが資格を取得するのか、その理由やメリットについて紹介しましょう。
スキルの証明ができる
もっとも大きな理由としては、自身のスキルを客観的に証明できるためです。たとえばセキュリティエンジニアとして就職や転職をする場合、「セキュリティに関する知識やスキルがあります」といっても、第三者から見れば本当なのか信頼することができません。
また、スキルがあるといってもどの程度のレベルなのか、本人が説明することも難しいものです。しかし、セキュリティ関連の資格を保有していれば、客観的にその事実を証明できます。
自分の知識量を測ることができる
実務経験を積んでいくと、それに合わせて自身の知識やスキルも向上しますが、客観的に自身がどの程度の知識量を身につけたのか分かりにくいこともあります。特に未経験から業務に従事し、特定の資格などにも挑戦したことがない場合、セキュリティ関連業務の全体像がつかめず、自分自身がどの位置にいるのかも把握できません。
しかし、資格に挑戦することによって、自分自身に蓄積された知識量を可視化・把握でき、セキュリティエンジニアとしてどの程度のレベルにあるのかを把握することにつながります。
セキュリティエンジニアの知識の習得に役立つおすすめの資格
セキュリティエンジニアとして資格取得に挑戦することはさまざまなメリットがあることが分かりましたが、実際にどのような資格を取得すれば良いのでしょうか。
一口にセキュリティエンジニア向けの資格といってもさまざまな種類があるため、今回は「全般的なセキュリティスキルが身につく資格」と「特定領域に特化した資格」の2パターンに分けて紹介しましょう。
全般的なセキュリティスキルが身につく資格
まずは、全般的なセキュリティスキルが身につく資格から紹介します。これからセキュリティエンジニアとして仕事に従事したい方や、セキュリティエンジニアとしての仕事の幅を広げたい方にとっては最適な資格といえるでしょう。今回は5つの資格を例に紹介します。
CompTIA Secuirity+
・概要/所要時間
CompTIA Secuirity+は、ITSSのレベル2相当のスキルを問われる資格で、セキュリティに関連するネットワークエンジニアや情報セキュリティに携わる技術者の受験が想定されています。合格率は非公開ですが、レベル2ですので難易度はそこまで高くありません。実務経験が少なくても、認定教材を使った学習で十分合格を目指せるでしょう。試験時間は90分で、最大90問が出題されます。
・問題形式
単一または複数選択方式の問題と、パフォーマンスベーステストとよばれるPC上に表示されるシミュレーション環境を使った形式の問題が出題されます。
・学習方法
認定資格別教材として提供されている、e-ラーニング、書籍、通信講座といった学習方法が効果的です。認定資格教材はCompTIAのWebサイトから検索できます。
情報セキュリティマネジメント試験
情報処理推進機構(IPA)が認定する国家資格の1つで、情報システムを安全に活用するために、情報セキュリティを確保し維持・改善する人を対象としています。ITSSのレベル2のスキルレベルであり、取得すると情報システムの利用部門において情報セキュリティを維持・改善できる人材として評価されます。
・概要/所要時間
試験は毎年2回上期(4月〜6月)と下期(10月〜12月)で実施され、2022年上期の合格率は61.2%となっています。試験時間は以下の通りです。
午前:90分
午後:90分
・問題形式
午前・午後問題の出題形式は以下の通りです。
午前:四肢択一 50問
午後:多岐選択式 3問
・学習方法
参考書で試験範囲の学習を進め、過去問題や模擬試験を解いていきましょう。独学でも1日2時間で3ヶ月あれば合格できると言われています。
情報処理安全確保支援士
・概要/所要時間
情報処理推進機構(IPA)が認定する国家資格で、情報セキュリティの推進や実装を担当する専門技術者が対象とされています。ITSSのレベル4のスキルレベルであり、取得していると企業のセキュリティリスクを分析・評価し改善策を提言できる人材として高く評価されます。
情報セキュリティの基本概念、ネットワーク、暗号・認証、ハードウェア、情報セキュリティマネジメント、関連法令などを幅広く学ぶことができ、どんな現場でも知識を適用することが可能です。2022年の合格率は19.2%となっています。試験時間は以下の通りです。
午前1:9:30-10:20(50分)
午前2:10:50-11:30(40分)
午後1:12:30-14:00(90分)
午後2:14:30-16:30(120分)
・問題形式
午前・午後問題の出題形式は以下の通りです。
午前1:四肢択一 30問
午前2:四肢択一 25問
午後1:記述式 3問
午後2:記述式 2問
・学習方法
参考書で試験範囲の学習を一通り進めた後は、過去問題や模擬試験、通信講座などを併用しながら学習を進める方が多いようです。
情報セキュリティプロフェッショナル認定資格(CISSP)
米国の国際資格であり、非営利団体(ISC)² (International Information Systems Security Certification Consortium)が認定している資格です。世界で150,000名以上、日本では3,500名以上の資格保有者がいます。
外資系企業や監査法人では、情報セキュリティ関連業務従事者は必須条件となっている場合があります。そのため、資格を持っていると外資系企業への転職やキャリアアップに有利です。
試験はCBT方式となっており、都合の良いタイミングで申込を行い、受験できます。試験会場は東京・大阪のいずれかから選択できます。受験費用は749米ドルです。
・試験時間
6時間
・問題形式
四肢択一(日本語、英語併記) 250問
・学習方法
日本語の参考書がほとんどないため、CISSP公式問題集や公式ガイドブック、CBKトレーニングを利用して勉強を進めるとよいでしょう。
公認情報セキュリティマネージャー(CISM)
米国のISACA(情報システムコントロール協会)が認定する国際資格資格です。情報セキュリティマネージャーに特化した資格であり、情報セキュリティ戦略の策定やシステムの脆弱性診断、リスク管理、インシデント対応などについて問われます。
外資系企業や監査法人では、情報セキュリティ関連業務従事者は必須条件となっている場合があります。そのため、資格を持っていると外資系企業への転職やキャリアアップに有利です。
試験はCBT方式となっており、申込は米国のISACAサイトから英語で受け付けています。試験は日本語で受験できます。いつでも受験できますが、12か月で4回までという回数制限があります。受験費用は一般受験者が760米ドル、ISACA会員は575米ドルです。
・試験時間
4時間
・問題形式
四肢択一 150問
・学習方法
日本語の参考書がほとんどないため、CISSP公式問題集や公式ガイドブック、CBKトレーニングを利用して勉強を進めるとよいでしょう。
なお、情報セキュリティに関する経験を5年以上、うちセキュリティマネージャーとして3年以上の経験を有しており、試験合格後5年以内に申請をすることで資格が認定されます。
特定領域に特化したセキュリティスキルが身につく資格
次に、セキュリティ関連の中でも特定の領域に特化した資格を紹介します。現在従事している業務で専門性を高めたい方などにとっては有効な資格といえるでしょう。
LinuC レベル3 303(LPI-Japan)
・概要/所要時間
サーバーOSとしてシェアの高いLinuxを扱うスキルを証明する資格です。レベル3の303はセキュリティ専門資格で、セキュアなサーバー構築のための実践的なスキルが身に付きます。レベル3の受験にはレベル1、2の取得が前提となっているため、順を追って受験して資格を取得する必要があります。合格率は非公開です。ITSSのレベル3に相当する中級者向け資格です。試験時間は90分で、60問が出題されます。
・問題形式
CBTとよばれるPCを使った試験で、択一式の問題がメインとなります。ただし、一部の問題ではキーボードでコマンドを入力する形式もあります。
・学習方法
一般の書店でも販売されている参考書に沿って試験範囲を網羅した後、問題集に繰り返し挑戦し試験に慣れておくことが重要です。問題集は書籍のほかにも、Webサイト上で公開されているものもあります。
シスコ技術者認定資格(CCNP-Security)
・概要/所要時間
シスコシステムズの認定資格で、CCNAの上位資格にあたるものです。ネットワークセキュリティの設計・実装・運用に携わるエンジニアが想定されており、ネットワーク機器やアプライアンスのセキュリティや、ファイアウォールやVPNなどのソリューションの適切な選択、導入、サポートなどの知識が問われます。ITSSレベル3の資格で、合格率は公開されていません。CCNP Securityを取得するためには、コア試験とコンセントレーション試験の両方に合格する必要があり、コア試験は120分、コンセントレーション試験は90分の試験時間となっています。
・問題形式
CBTとよばれるPCを使った試験で、択一式の問題がメインとなります。ただし、一部の問題ではキーボードでコマンドを入力する形式もあります。
・学習方法
CCNAと同様、参考書と問題集を活用した学習方法に加え、Cisco機器があれば実際にコマンドを打ち込んで動作環境を確認します。もしCiscoの実機環境がない場合には、「GN3」などのシミュレーターを活用する方法がおすすめです。
セキュリティエンジニアの資格で証明できるスキル
資格を取得することで、セキュリティエンジニアにとってどのようなスキルを証明できるのでしょうか。セキュリティエンジニアには、主にコンサルタント領域のスキルと技術領域のスキルが求められるため、それぞれの領域に分けて紹介しましょう。
コンサルタント領域で必要になるスキル
まずはコンサルタント領域で求められるスキルを3つ紹介します。
マネジメントスキル
セキュリティエンジニアとして上流工程に携わるようになると、複数のエンジニアを統括してプロジェクトを進めなければなりません。そのような場合に必須となるのが、マネジメントスキルです。特にCCIE Securityなど上位レベルの資格では、高度な技術的知見はもちろん、マネジメントに関する知識も不可欠となります。
脆弱性診断スキル
システム全体の中で、どの部分にセキュリティ上の脆弱性があるのかを診断・分析できる能力が求められます。これには実務経験はもちろんですが、資格取得に向けて体系的に学習することで適切な分析力が身につけられます。
セキュリティマネジメントルールの策定
セキュリティ上の脆弱性はシステムそのもの以外にも、企業や組織内での運用ルールが起因していることがあります。情報漏えいを未然に防ぐためには、適切なルールを策定できるマネジメント力が求められます。
技術領域で必要になるスキル
次に、技術領域で求められる具体的なスキルを2つ紹介します。
セキュリティソフト・システムの知識
ソフトウェアやシステムを導入することは、情報セキュリティ対策の基本といえます。しかし、導入する側にソフトウェアやシステムを選定するノウハウがなければ適切な対策を講じることは難しいでしょう。専門的な資格を取得することにより、情報セキュリティ対策に役立つソフトウェアやシステム選定の基本を学ぶことができます。
サーバーやOSなどに関する知識
ソフトウェアやシステムの導入以前に、サーバーおよびクライアントPCのOSの管理は極めて重要なポイントです。また、PCだけではなくネットワーク機器のOS、ファームウェアなども適切に管理しなければなりません。CCNAやCCNPに代表されるような資格試験では、これらの実務的な内容も網羅されています。
まとめ
この記事では、セキュリティエンジニアに必要なスキル習得に役立つ資格を解説しました。セキュリティエンジニアは非常に広範なスキルと知識が求められるため、効率的な学習をする必要があります。各種資格はセキュリティエンジニアになる上で必須ではありませんが、身につけるべきことが体系的にまとめられているため、学習効率やスキル証明の観点から有効です。ぜひ活用してみてください。
ITエンジニアの転職ならレバテックキャリア
レバテックキャリアはIT・Web業界のエンジニア職を専門とする転職エージェントです。最新の技術情報や業界動向に精通したキャリアアドバイザーが、年収・技術志向・今後のキャリアパス・ワークライフバランスなど、一人ひとりの希望に寄り添いながら転職活動をサポートします。一般公開されていない大手企業や優良企業の非公開求人も多数保有していますので、まずは一度カウンセリングでお話してみませんか?(オンラインでも可能です)
転職支援サービスに申し込む
また、「初めての転職で、何から始めていいかわからない」「まだ転職するかどうか迷っている」など、転職活動に何らかの不安を抱えている方には、無料の個別相談会も実施しています。キャリアアドバイザーが一対一で、これからのあなたのキャリアを一緒に考えます。お気軽にご相談ください。
「個別相談会」に申し込む
レバテックキャリアのサービスについて