【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
ITスタッフが取得すべきセキュリティ認定資格はこれだ!
情報セキュリティに関する各種認定資格をセキュリティ専任スタッフの育成に活用する
(2006年02月05日)
情報セキュリティ関連の各種認定資格の特徴
セキュリティ対策人材の育成に際しては、自社で教育計画を立てることも1つの方法であるが、セキュリティ関連の認定資格のカリキュラムを利用して体系的に教育を行い、スキルを習得させる方法がやはり効果的であろう。
セキュリティ関連の認定資格は、情報処理技術者試験の情報セキュリティアドミニストレータをはじめ多数存在する。それぞれ特徴があるので、目的別に資格取得を促進し、セキュリティ・スタッフを育成するべきだ。
情報セキュリティの学習分野/内容
まず、セキュリティ専任スタッフの育成においてスタッフが学習する分野と、各分野における代表的な学習内容(カリキュラム)を紹介しよう。
■セキュリティ基礎
セキュリティ・ポリシー、セキュリティ事故の例、リスク管理、機密性、安全性、可用性、セキュリティ原則、セキュリティ関連法規など。
■コンピュータ・ネットワーク基礎
OS(Windows、UNIX/Linuxなど)ごとのセキュリティ、ファイルシステムとアクセス制御、ネットワーク・プロトコル、アタックの種類など。
■脅威と脆弱性
物理的/技術的/人的脅威、物理的/技術的/人的脆弱性、リスク評価、リスク管理など。
■セキュリティ対策
暗号化、認証、ファイアウォール、システム2重化、ウイルス対策、教育、入退室管理、ISMS、プライバシーマークなど。
■セキュリティ監査
セキュリティ監査の目的、発見法、ログ採取、サーバ侵入、監査報告と改善など。
それでは以下で、主要なセキュリティ関連資格として、8つの資格を挙げ、それぞれの概要について紹介する。なお、表3には、これらの資格の目的と対象人材を一覧にまとめた。
| 表3:主な情報セキュリティ関連の認定資格一覧 |
 |
@情報セキュリティ検定
情報セキュリティ検定は、財団法人全日本情報学習振興協会が実施する資格認定試験である。同試験は、セキュリティ対策における管理スキルを中心とした知識を有することを認定するものである。まずは、基礎的な知識が試されるこのような資格に挑戦してから、より実践的な資格の取得を目指すべきであろう。
A情報セキュリティアドミニストレータ試験
情報セキュリティアドミニストレータ試験は、独立行政法人情報処理推進機構(IPA)が実施する国家試験の1つで、セキュリティ対策の現場の責任者として必要な知識を有する人材を認定するものである。具体的には、セキュリティ対策の企画から運用、分析の各段階で、物理的観点、人的観点および技術的観点から、セキュリティを保つための施策を提案し、その結果について評価を行う知識と能力が求められる。つまり、同試験のカリキュラムを学ぶことで、自社でセキュリティ対策を実施するうえで中核となる人材を育成できる。
Bネットワーク情報セキュリティマネージャー資格制度
ネットワーク情報セキュリティマネージャー(NISM:Network Information Security Manager)資格制度は、クラッカーによる不正アクセスやサイバー・テロなどの脅威に対処するために、ネットワーク・セキュリティの専門家を育成することを目的にしている。
同制度では、「ネットワークセキュリティ基礎」「ネットワークセキュリティ実践」「サーバセキュリティ実践」「セキュリティ監視実践」「セキュリティポリシー実践」「セキュリティ監査実践」の7つのコースが設けられており、それぞれ2日ないし3日間の講習や実習が行われる。ネットワークセキュリティ基礎では、セキュリティの概要から暗号化などの技術的要素、エンドユーザーの教育などといった基礎知識を修得できる。一方、サーバセキュリティ実践では、ファイアウォール構築の実習が行われるなど、技術知識と実務スキルを同時に修得できるため、セキュリティ技術者を育成するのに向いている。
CCCSP
CCSP(Cisco Certified Security Professional)は、ネットワーク機器ベンダーのシスコシステムズが実施する認定試験で、一般的なネットワーク技術に関する知識のほか、同社製品の利用方法や管理方法などが出題される。ネットワーク・サポート、ネットワーク・デザイン、ネットワーク・セキュリティなどのカテゴリごとに資格試験を実施している。また、アソシエイト、プロフェショナル、エキスパートというレベルがあり、初心者から上級者に対応したカリキュラムが用意されている。ネットワーク・セキュリティの専門知識を習得させたい場合に向いている。
DCIWセキュリティ・プロフェッショナル
CIW(Certified Internet Webmaster)セキュリティ・プロフェッショナルは、米国プロソフトラーニングが開発した、ネットワーク/インターネット技術者の力量を認定する総合教育カリキュラムであり、特定の製品やベンダーに依存しない中立的な資格である。セキュリティに関することだけでなく、インターネットの基礎からWebマスター、サーバ管理まで幅広く、かつレベルも初級からプロフェショナル向けまで分けられている。専門知識を持たなくても、修得可能なカリキュラムになっているので、セキュリティやインターネット関連の技術を体系的に学ばせたい場合に適している。
E公認情報セキュリティマネージャー
公認情報セキュリティマネージャー(CISM:Certified Information Security Manager)は、2003年に米国のISACA(情報システムコントロール協会)によって開始された資格試験である。同資格の試験問題は、企業や組織の情報セキュリティ対策のマネジメント、設計、監査を行う情報セキュリティ・マネジャーの実務を元に作られている。また、資格認定の前提として、情報セキュリティに関する5年以上の実務経験が必要である。なお、日本語の試験は2005年より開始されている。
F情報セキュリティ専門監査人
情報セキュリティ専門監査人は、システム監査学会の専門監査人資格認定審査会が、複雑化する情報通信環境に対して専門的な監査を行える人材を認定するために設けた資格制度である。同制度によって、情報セキュリティ専門監査人として認定されるためには、次の3つの要件を満たす必要がある。
- 要求水準:システム監査基準、情報セキュリティ監査基準、ISMS認証基準に基づく監査ができること。情報セキュリティ構造上の欠陥、管理上の欠陥を指摘できること。
- 監査能力:システム監査技術者試験に合格していること。または、これと同等の能力があると認定審査会が認めた者で関連資格を有していること。
- 情報セキュリティに関する知識・能力:情報セキュリティアドミニストレータ、技術士(情報工学部門)もしくはISMS主任審査員であること。合格していない場合は、システム監査学会が実施する「情報セキュリティ専門監査人資格認定講座」を受講しなければならない。
GCompTIA Security+
CompTIA Security+は、CompTIA(The Computing Technology Industry Association)が実施する世界的に認知された資格試験である。CompTIAは、1982年に設立された団体で、クライアント環境管理、ネットワーク管理、セキュリティ管理、プロジェクト管理など、各管理業務における実務能力の認定活動を行っている。
現在、CompTIAでは、ネットワークやプロジェクト管理、クライアント/サーバ管理などの資格試験を実施しており、Security+はこの中のセキュリティ技術者の基盤構築を目的として実施されている。資格取得には、セキュリティに関する知識だけでなく、知識を実務に生かせる能力も求められるので、マネジメントと技術の両面を理解できる人材を育成することができる。
以上、企業・組織に求められるセキュリティ対策の考え方と、セキュリティ対策に関するPDCAサイクルを回すために必要とされるセキュリティ専任スタッフの育成に役立つ情報セキュリティ関連の各種認定資格について紹介してきた。まとめとして、図1にセキュリティ関連資格とその取得者が担うべき役割の関係の一例を示した。
セキュリティ関連の認定資格は、セキュリティの基礎から学べる講習や実習を用意しているものもあれば、実務経験を問うものや、監査やマネジメント能力を問う資格など多岐にわたる。まずは自社のセキュリティ専任スタッフに足りない人材を特定し、それを補うための人材育成計画を立て、その実現に向けてスタッフに資格の取得を目指してもらうという方針で自社のセキュリティ対策を強化してみてはいかがだろうか。
| 図1:セキュリティ人材のスキルアップ
|
 |
