情報セキュリティ関連資格まとめ
4月なのにいまだにカイロが手放せない吉本です。(冷え性)
危機管理室に配属されるにあたり、今後取得したい情報セキュリティ関連資格をまとめました。 トレンドであるChatGPTなどのAIサービスを適切に活用する上でも基礎的な知識が大事だと思っています。
情報セキュリティとは
情報セキュリティ(Information Security)とは、会社や組織が保有する大事な情報(情報資産)を守り健全に経営活動などを行うためのものです。外部の認証(ISMS、SOCなど)を取得したり、社内システムのセキュリティ対策を強化することで情報資産を守っています。適切な対策をしていることが示せれば、お客さまからの信頼が得られさらなるビジネスチャンスにつながります。 情報セキュリティの取り組みは全社としてそれぞれの組織、担当者が役割を果たすことが重要です。
情報セキュリティとサイバーセキュリティの違い
調べていて用語の使い方に迷ったので記載しておきます。根本的には情報資産を守るための取り組みのためあまり違いはありません。細かい使い方を気にしている人も少ないようです。 あえて違いを挙げるとすれば、サイバーセキュリティは外部からのサイバー攻撃の脅威に対応するためのもので、情報セキュリティはそれに加え災害対策や建物の入室管理など物理的な対策を含むより広範囲なものです。
資格の種類
情報セキュリティ担当者に求められる知識、スキルにはマネジメントとエンジニアの2要素があります。自分のキャリアの目標や担当する業務に合わせた知識を順に取得していくのがいいと思います。
| 資格名 | 情報処理安全確保支援士(登録セキスぺ) |
|---|---|
| 主催団体 | IPA(情報処理推進機構) |
| 試験時期 | 4月、10月 |
| 受験方法 | 筆記 |
| 公式サイト | https://www.ipa.go.jp/jinzai/riss/index.html |
組織のサイバーセキュリティリスク分析や評価に従事し、事業・サービス・情報システムの安全を確保するための資格です。情報セキュリティの体系的な考え方や主要なサイバー攻撃の技術的な内容についても網羅して学べるのでバランスのいい資格だと思います。所定の登録手続きを行うと国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。社内の情報セキュリティ担当者やCSIRT担当者が取得するとちょうど必要な知識を持っていることが証明できます。
| 資格名 | CompTIA Security+ |
|---|---|
| 主催団体 | CompTIA |
| 試験時期 | 随時 |
| 受験方法 | オンラインまたは会場でのCBT |
| 公式サイト | https://www.comptia.jp/certif/core/comptia_security/ |
セキュリティキャリアを目指している人が最初に取得する入門レベルとして国際的にも有名な資格です。ベンダー依存なしで業務に必要な標準的な知識が得られます。CompTIAにはその他にCompTIA PenTest+といった特定の業務に特化したものがいくつかあり、専門性を示せます。セキュリティエンジニアになりたい、なったばかりの人はCompTIA Security+を、より細分化された職種を目指したい人はCompTIA PenTest+などを取得するといいでしょう。
| 資格名 | 公認情報セキュリティマネージャー(CISM) |
|---|---|
| 主催団体 | ISACA |
| 試験時期 | 随時 |
| 受験方法 | オンラインまたは会場でのCBT |
| 公式サイト | https://www.isaca.gr.jp/cism/ |
国際的な資格で情報セキュリティ管理に焦点を当てており、企業・団体等の情報セキュリティプログラムに係るマネージメント、設計、監督を行うスペシャリスト向けです。情報セキュリティマネージャーやそれを目指す人が実務に近い能力を証明できます。
| 資格名 | 公認情報システム監査人(CISA) |
|---|---|
| 主催団体 | ISACA |
| 試験時期 | 随時 |
| 受験方法 | オンラインまたは会場でのCBT |
| 公式サイト | https://www.isaca.gr.jp/cisa/index.html |
CISMと同じISACAの認定資格ですがこちらは情報システム監査に重点を置いています。監査対応をする人はこの資格で情報システムの監査や、セキュリティ、コントロールに関する高度な知識、技能が示せます。
| 資格名 | CISSP |
|---|---|
| 主催団体 | (ISC)2 |
| 試験時期 | 随時 |
| 受験方法 | 東京または大阪会場でのCBT |
| 公式サイト | https://japan.isc2.org/cissp_about.html |
国際的に認知された情報セキュリティプロフェッショナル資格です。試験はCBKといわれる8つのドメイン(リスクマネジメントから技術要素まで含む)から出題され、広範囲に深い知識を持っていることが証明されます。アメリカの大きな企業で情報セキュリティ従事者の必須資格になっているところもあるようです。情報セキュリティ担当者だけでなく、マネージャーなど管理職を目指す人が取得するといいと思います。
| 資格名 | AWS Certified Security – Specialty (SCS-C01) |
|---|---|
| 主催団体 | AWS |
| 試験時期 | 随時 |
| 受験方法 | オンラインまたは会場でのCBT |
| 公式サイト | https://aws.amazon.com/jp/certification/certified-security-specialty/ |
AWSの認定資格で、AWSプラットフォーム上でのセキュリティに関する知識、技術が問われます。AWSで開発を行うエンジニアやAWSサービスを管理するエンジニアに適した資格です。2023年7月11日にSCS-C02に出題内容が変更されるので要注意です。
今後の展望
AWS認定資格を取りながらCISSP取得を目指します。資格取得は手段の一つなのでそれ自体が目的にならないように心がけたいです。
![[レポート][株式会社日立システムズ]第1部:サイバー領域視点でのセキュリティ / 第2部:中国の全方位情報影響工作 (笹川平和財団上席フェロー 小原 凡司様) - CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
