この記事では、サイバーセキュリティ/情報セキュリティ系に対して転職したい、または能力を高めていきたいと考えている人が、自身の知識の証明のためにどのような資格を取得すべきなのか、解説していきます。
ぜひ、参考にしてください!!
目次
(ISC)2
CISSP
Certified Information Systems Security Professionalという資格です。
CISSPは、国際的に認められた情報セキュリティに関するプロフェッショナルを認証するための資格です。米国では、主要企業や国家機関のセキュリティ部門にアサインされる場合、CISSP認定資格の取得が必須条件となっています。CISSPは日本国内での知名度も高く、CISSPの取得は、国内外において、個人および所属組織の信用・信頼の獲得につながります。
試験内容
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークのセキュリティ
- アイデンティティとアクセスの管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
CCSP
Certified Cloud Security Professionalという資格です。
クラウドサービスを安全に利⽤するために必要な知識を体系化した資格です。CSAが運営するCCSK (Certificate of Cloud Security Knowledge) の上位資格して位置づけられています。クラウドコンピューティングセキュリティの実務経験に基づいた、専門能力と、クラウドセキュリティの専門知識に対する認証することを目的とした資格です。
試験内容
1. Architectural concepts and design Requirements (設計コンセプト& デザイン)
2. Cloud data security (クラウドデータセキュリティ)
3. Cloud platform and infrastructure security (クラウドプラットフォーム& インフラセキュリティ)
4. Cloud application security (クラウドアプリョンセキュリティ)
5. Operations (オペレーション)
6. Legal and Compliance (法規とコンプライアンス)
ISACA
CISA
CISAの正式名称は、Certified Information Systems Auditorであり、日本語にすると「公認情報システム監査人」です。
セキュリティの仕事をしていると、リスクアセスメントを行う機会というのは監査に限らず発生してくると思います。CISAに合格することで、企業にとって重要な問題が何か「アセスメントの対象を特定し」「リスクを特定し」「そのリスクの詳細を分析し」「リスクを受容するか、低減策を検討するか、経営層に判断を仰ぐ」ことで「組織のリスクを管理していく」というリスクアセスメントの一連の考え方を学ぶことが出来ます。
試験内容
1.情報システム監査のプロセス
2.ITガバナンスとマネジメント
3.情報システムの調達、開発、導入
4.情報システムの運用、保守、サポート
5.情報資産の保護
CISM
Certified Information Security Managerつまり公認情報セキュリティマネージャーという名称の資格になります開発運用をコントロールし、セキュリティに関するリスクを分析し、受容可能なリスクになっているか確認する。受容可能なリスクではない場合は、代替えコントロールを検討し、経営層に正しく説明することで経営判断を仰ぐ。そんな仕事ができる人間モデルケースに出来上がった資格がCISMです。
試験内容
1.情報セキュリティのガバナンス
2. 情報セキュリティリスクの管理
3. 情報セキュリティプログラムの開発と管理
4. 情報セキュリティインシデントの管理
CRISC
Certified in Risk and Information Systems Controlという名称の資格です。
CRISCは、リスク認識とリスク評価や、情報システムのコントロール設計・導入・運用に携わる専門家として、リスクマネジメントをしたり、内部統制を撮ったり、ビジネス分析やコンプライアンスに対する専門知識を証明するための認定資格です。
試験内容
1.ITリスクの特定
2.ITリスクアセスメント
3.リスク対応及び軽減
4.リスクおよびコントロールのモニタリング並びに報告
CGEIT(英語のみ)
Certified in the Governance of Enterprise ITという名称の資格です。
CGEITは、ITガバナンスに関わるマネージャー層、役員層、セキュリティコンサルタント、経営幹部などを対象にした資格です。
試験内容
・IT戦略計画の策定や保持の監督
・ITを活用した投資ポートフォリオの管理
・ITガバナンス改善のため、業界で受け入れられている実践や枠組を助言する
・ITおよび情報システムの戦略的計画や制御フレームワークの策定
・情報セキュリティを事業体のITガバナンスに組み込むこと
・エンタープライズアーキテクチャの管理
・リスク戦略、計画、プログラムの策定や保持の監督
EC-Council
CEH
Certified Ethical Hackerという名称の資格です。
- NWスキャン
- OSスキャン
- 脆弱性の分析
- システムへの侵入や改ざん
- Webアプリケーションへの侵入や改ざん
などのハッキング技術を倫理的に実証できることを証明するための試験です。
試験内容
1.ホワイトハッキングとは
2.フットプリンティングと調査
3.ネットワークの診断
4.列挙
5.脆弱性解析
6.システムハッキング
7.マルウェアの脅威
8.スニッフィング
9.ソーシャル・エンジニアリング
10.サービス拒否(DoS攻撃)
11.セッション・ハイジャック
12.IDS、ファイアウォール、ハニーポットの回避
13.Webサーバのハッキング
14.Webアプリケーションのハッキング
15.SQLインジェクション
16.ワイヤレスネットワークのハッキング
17.モバイル・プラットフォームのハッキング
18.IoTハッキング
19.クラウド・コンピューティング
20.暗号技術
CEH(Practical)英語のみ
CEHを取得したハッカーの方の次のステップとして用意されている資格になります。実際のハッキング課題を行うことにより、倫理的ハッキングの特定の側面に関する受験者の知識を評価する試験です。
しかし現状は日本で受験することはできませんので、今後日本での受験がサポートされたら、受験を検討してください。
試験内容
Demonstrate the understanding of attack vectors
Perform network scanning to identify live and vulnerable machines in a network.
Perform OS banner grabbing, service, and user enumeration.
Perform system hacking, steganography, steganalysis attacks, and cover tracks.
Identify and use viruses, computer worms, and malware to exploit systems.
Perform packet sniffing.
Conduct a variety of web server and web application attacks including directory traversal, parameter tampering, XSS, etc.
Perform SQL injection attacks.
Perform different types of cryptography attacks.
Perform vulnerability analysis to identify security loopholes in the target organization’s network, communication infrastructure, and end systems etc.
CHFI
Computer Hacking Forensic Investigatorという資格です。
この資格では、侵入者の足跡を見つけ、突き止め、告発に必要な証拠を収集するというフォレンジックに関するスキルを習得できます。
試験内容
- 今日の社会におけるコンピュータハッキングフォレンジック
- ハードディスクとファイルシステムを理解する
- Windowsフォレンジック
- ステガノグラフィと画像ファイルのフォレンジック
- アプリケーションのパスワードクラッカー
- コンピュータハッキングフォレンジック調査のプロセス
- コンピュータを捜索し、押収する
- デジタル証拠
- ファーストレスポンダーの手順
- データの取得と複製
- 削除されたファイルとパーティションを復元する
- ログのキャプチャとイベント相関
- ネットワークフォレンジック、ログの調査とネットワークトラフィックの調査をする
- 電子メールを追跡し、電子メール犯罪を調査する
- モバイルフォレンジック
- 調査報告書
- 専門家として証人になる
- コンピュータハッキングフォレンジックラボ
- AccessData社のFTK を使ったフォレンジック調査
- EnCaseを使ったフォレンジック調査
- 無線攻撃を調査する
- Web攻撃を調査する
Comptia
CompTIA Security+
Security+は、基本的なセキュリティスキルの知識を確認する国際的な認定資格です。これからセキュリティを1から勉強していこうという方には良い資格なのではないでしょうか。
試験内容
- 脅威、攻撃、脆弱性
- テクノロジーとツール
- アーキテクチャと設計
- アイデンティティとアクセス管理
- リスク管理
- 暗号化とPKI
IPA
情報処理安全確保支援士
情報セキュリティマネジメントに関する業務や、情報システムの企画・設計・開発・運用におけるセキュリティ確保に関する業務、セキュリティ対策の適用に関する業務、情報セキュリティインシデント管理に関する業務などに従事したり、業務をコントロールする立ち上の人におすすめな日本製の認定資格です。
試験内容
- 情報セキュリティとは
- 情報セキュリティマネジメント
- ネットワーク基礎技術
- 情報セキュリティ基礎技術(暗号化、認証)
- 情報セキュリティ基礎技術(アクセス制御)
- 情報セキュリティ実践技術
- サイバー攻撃
- マルウェア対策
- システム開発とセキュアプログラミング
まとめ
いかがでしたか?セキュリティの資格と言っても、いろいろなベンダー、いろいろな資格があるということがわかったと思います。
試験内容や、資格自体が持っているブランド力みたいなものを考慮して、ぜひご自身にあった資格を取得してくださいね!
関連:未経験者がセキュリティエンジニアに転職する際の仕事内容・必要なスキル