「若者のIT業界離れ」や「セキュリティ人材の不足」が、この先、日本の抱える深刻な課題と挙げられている。しかし、その人材をどう育成/採用していけばよいのかに悩む企業が多いのも、また大きな課題だ。そんな中、セキュリティ人材の採用基準の1つとして、多数の国内外の企業や政府機関で取り入れられている認定資格がある。CompTIA認定資格を推進する、CompTIAのキーパーソンにその真意を聞いた。
職員へのサイバー攻撃で約125万人分もの個人情報が漏えいした2015年5月の日本年金機構の事件、約678万人もの顧客情報が流出した2016年6月のJTBの事件……。標的型攻撃、ランサムウェア、Web改ざん、不正送金といった、社会的影響が大きく、「人ごとではない」範囲のセキュリティ侵害を耳にする機会が、ここ数年で急増している。その脅威は明確に金銭、あるいは社会的信用の奪取を目的にしており、その手口はますます巧妙かつ複雑化している。
そんな中で、今、特に必要とされているのが「セキュリティ人材」だろう。サイバー攻撃を中心に、多種多様かつ手口も巧妙になっているセキュリティ侵害の脅威から、社員、企業、そして顧客を守ることができる人材のニーズが年々高まっている。このことは、IT業界を始めとする会社単位の範囲を超え、社会的、かつ国家的な課題となっている。そのため、それを支えるセキュリティ人材の確保と育成が急務となっているのだ。
こうした現状を早期から見据えていた米国のIT業界は、1982年に非営利団体のCompTIAを設立。単一のベンダーやテクノロジーに依存しない、中立的な視点を持ったスキル認定資格である「CompTIA認定資格」の開発が始まった。2016年現在、世界各国2000社を超えるメンバー企業が参画し、3000以上のパートナーがトレーニングを提供。CompTIAの認定資格は、世界中で200万人以上が取得するグローバル資格として認知されている。
中でも、2002年に開発された「CompTIA Security+」は、ネットワークやアプリケーション、データに関連するセキュリティ対策知識の他に、企業として必要なコンプライアンスや認証マネジメントなど幅広く網羅したスキル認定資格だ。認定試験は、知識や技術力だけでなく、実践的スキルも求められる内容であることから、セキュリティエンジニアやIT管理者、セキュリティアーキテクト、セキュリティコンサルタントなどのセキュリティ担当のプロフェッショナルが自身の能力や実務経験を客観的に証明できる資格として取得しているという。
なぜ認定資格が必要で、その需要が高まっているのか。また、セキュリティ人材の需要が高まっているのに、人材不足が叫ばれるのはなぜか。今回は、CompTIA CEO(最高経営責任者)のトッド・ティビドー氏と、CompTIA認定資格を統率するシニアバイスプレジデントのジョン・マグリンチィ氏に、CompTIA認定資格を取得することで得られる効果と共に、なぜ認定資格の展開を加速させているのか、そして、日本でも間もなく提供が開始されるという新たな認定資格「CompTIA Cybersecurity Analyst+(以下、CompTIA CSA+)」について、その真意を聞いた。
CompTIA認定資格は、個人のITにおける実務とスキルを客観的に証明できる資格と説明した通り、企業や政府機関でも、セキュリティ人材の知識や技術力、実践的スキルを評価するために広く活用されている。例えば米国国防総省では、セキュリティや情報保証に関わる職員にCompTIA認定資格の取得を必須と定めている。
「日本でも、例えばNTTコミュニケーションズ、ソフトバンク、電算、富士通(50音順)などが人材育成の一環でCompTIA Security+を導入しています。セキュリティ業務に就きたいエンジニアにとって、CompTIA Security+は取得必須の資格となりつつあると言えます」(CompTIAのティビドー氏)
なお、CompTIA Security+の試験問題は、米国海軍省や米国政府などの政府機関、IBMやモトローラ、Avayaなどの民間企業、サウスイースタンルイジアナ大学などの教育機関に従事する、いわゆる“最前線”にいる専門家が作成している。
「なぜそうしているのか。防御側である会社はどうしても攻撃側の後手に回りがちです。しかし、そのギャップは決して広げてはならず、むしろ縮めていかなければ、この先の脅威には対処できません。ですから試験では、最前線のスペシャリスト目線で最新のサイバー攻撃事情や対策を盛り込んでもらっているのです」(CompTIAのマグリンチィ氏)
資格の有効期限が3年となっているのもそれが理由だ。当然、試験内容や出題範囲も、その時点の最新事情やトレンドに沿って定期的に改訂される。常に最新の脅威を把握し、それに対処できるようスキルを磨き続けなければ意味がないからだ。CompTIAでは、こういった認定資格試験の再受験や継続的な教育プログラムへの参加で資格更新を促す施策も整えている。
「さらに、その国で起こったサイバー攻撃を事例に盛り込むことで、より具体的かつ的確に対処していくスキルが身に付くよう意識しています」(ティビドー氏)
試験は、ただ翻訳するだけではなく、各国の文化や商慣習、法律などに沿ってローカライズされるのも特徴だ。日本版の試験は、S&JコンサルティングやNRIセキュアテクノロジーズ、日本アイ・ビー・エムなどに在席する“日本の現場”のプロフェッショナルが出題範囲の項目付けや作問、翻訳などを担当しているという。
そして2017年2月、CompTIAに新たな認定資格がもう1つ加わる。それが「CompTIA Cybersecurity Analyst(略称:CompTIA CSA+)」である。
CompTIA CSA+は、CompTIA Network+やCompTIA Security+の資格取得者または同等の知識を有し、3〜4年以上の実務経験のあるITセキュリティアナリスト、脆弱性アナリスト、脅威インテリジェンスアナリストなどが対象となる、CompTIA Security+の上位認定資格だ。
CompTIA CSA+の試験内容は、脅威管理、脆弱性管理、サイバーインシデントレスポンス、セキュリティアーキテクチャとツールセットの4カテゴリーから出題され、幅広く、かつ最新のセキュリティ対策知識を習得しているかが問われる。
現実的なインシデントシナリオを基に、情報収集やデータの相関付け/解析、フォレンジックを含む各種分析ができるか。適切なツールや手順を採用し、それを的確に実践できるか──。このように、脅威の分類や影響範囲の判断、関係者への状況説明やレポート作成といった、一連のインシデントレスポンスにフォーカスされているのが特筆すべき点だ。
「インシデントレスポンスにおいては、状況の把握と共に、社内外との情報共有や情報公開のタスクが極めて重要な課題です。試験範囲には、そうしたコミュニケーションのための情報の整理や共有の方法なども盛り込まれています」(マグリンチィ氏)
あらためて、なぜインシデントレスポンスのスキルが重要なのか。
「インドのある銀行では、サイバー攻撃や侵入自体を約8カ月間検知できず、その間、顧客データが侵害され続けました。また、ロシアのある銀行では2〜3年もシステムに侵入されていることに気が付かず、約3億ドル(約310億円)もの損失が発生したそうです」(ティビドー氏)
攻撃の兆候を早期に検知し、未然に防ぐ。万が一、侵入されてしまったとしても、機密データの本丸までたどり着かせない対策を迅速に実践する。そんな具体的な即戦力がCompTIA CSA+を通じて習得できると、ティビドー氏は力説した。
前述したCompTIA Security+やCompTIA CSA+は、その道を志す、または既に実務として携わっているセキュリティ担当者向けとなる。
しかし、今やセキュリティ知識はIT企業やIT担当者だけでなく、全ての従業員/職員が習得すべきものとティビドー氏は提言する。
「例えば、日本で起きた日本年金機構やJTBの情報漏えい事件では、従業員をターゲットに標的型攻撃メールが送られ、それに添付されたマルウェアを開いてしまったことに端を発します。こういった観点から、誰もがサイバー攻撃を受ける可能性のある最前線におり、かつ第一線の防衛ラインに立っているともいえるわけです」(ティビドー氏)
ただし、それにはハードルがまだ高いかもしれない。そこでCompTIAでは、日常的な場面を想定した、インタラクティブなシナリオを使ったオンライン講座「CompTIA CyberSecure」を開発し、社員1人1人へセキュリティの重要性を訴求する施策にも乗り出している。
「CompTIA CyberSecureは、動画解説、クイズ、答えの解説で構成される、45分から1時間程度の学習コンテンツです。安全なパスワードとは何か、無料の公衆Wi-Fiの安全性など、身近で誰もが知っておくべき知識を確認できるような内容です。もちろん、日本語にも対応予定です」(マグリンチィ氏)
併せて、セキュリティ人材不足の課題にも積極的に取り組む意向だ。例えば、女性のセキュリティエンジニアを支援する「Make Tech Her Story」キャンペーンも、その施策の1つである。
「何より、世界の将来を担う子どもたちにも“ITは素晴らしい仕事だ”と伝えていくのが私たちの義務だと考えています。そして、ITと言っても、IT企業だけが勤め先ではなく、音楽業界やスポーツ、映画業界などにも、いや、そういったところにこそ需要があることをもっと知ってもらいたいです。
“若者のIT業界離れ”などと言われますが、私たちIT業界は、技術の素晴らしさを紹介し、実践していくことに時間を割いたあまり、IT業界で働くことの楽しさを十分伝えてこなかったのかもしれません。なぜITが好きなのか、このことをCompTIAの活動を通じ、若い人にもっと伝えたいと思います」(ティビドー氏)
そう熱く述べたティビドー氏は、ロールモデルとなるIT業界のプロを招待し、子どもや若者と対話できるイベントを積極的に開催していく計画も明かしてくれた。
「人材不足の課題は、継続的な取り組みが必要です。資格試験の開発や改善はもちろんのこと、未来のエンジニアを開拓する取り組みにも積極的に関わっていく予定です」(ティビドー氏)。
ITがビジネスに欠かせない基盤となった今、それを脅かすサイバー攻撃を防いで、顧客情報や知的財産などの機密情報を守るセキュリティ人材もまた欠かせない存在だ。そんな人材であることを示せるグローバル標準のCompTIA認定資格は、セキュリティエンジニアにとって心強い後ろ盾になる。資格取得後も、CompTIAファミリーの一員としてさまざまなサポートを受けることができ、スキルを維持し、向上していける。
同時にCompTIA認定資格は、企業にとっても優秀な人材を見極める指標になる。この他、CompTIA CyberSecureを教材として導入すれば、全社員のセキュリティ意識向上や底上げも期待できるだろう。
そして、IT/セキュリティの現場に携わる人材の成長を支えることで企業をサポートし、さらには未来を担う若者、そして子どもたちに向けてIT業界で働く楽しさを発信し、人材不足というグローバルな課題に真正面から取り組み続ける。それがCompTIA認定資格だ。
これらのポイントを、特に若い人に知ってほしい。これを機に、個人として資格を取得し、さらには自身の会社の価値を高める活動などに取り組んでみるのはいかがだろうか。
概要:毎年恒例 「CompTIA人材育成サミット」、2017年も開催決定! 基調講演として、株式会社ラック取締役CTOの西本様をお迎えし、セキュリティの現状、そしてセキュリティ技術者不足が叫ばれながらも、これらの技術者が育成されない市場の課題についてご講演をいただきます。また、CompTIAのProduct Development Senior DirectorであるJames Stangerより、CompTIAが実施しているワールドワイドの調査報告から見たセキュリティの現状と課題についてご案内をいたします。さらに、CompTIA認定資格を活用いただき企業内の人材育成を進める、株式会社TOKAIコミュニケーションズ様、株式会社富士通マーケティング様より、自社での取り組みとその効果についてご案内いただきます。
開催日時:2017年1月24日(火) 13:00〜17:00
場所:ベルサール神保町(東京都千代田区西神田3-2-1 住友不動産千代田ファーストビル南館2・3F)
参加費:無料
定員:100名
申込受付:→詳細はこちらから
Copyright © ITmedia, Inc. All Rights Reserved.
提供:CompTIA
アイティメディア営業企画/制作:@IT自分戦略研究所 編集部/掲載内容有効期限:2016年12月18日
サイバー攻撃の増加を背景に、企業におけるセキュリティ対策の優先順位は高まっている。だが、対策実施に当たって大きな壁となるのが「セキュリティ人材不足」だ。CompTIAでは、セキュリティ専門家に必要な知識とスキルを備えていることを示す認定資格「CompTIA Security+」を通じて、この問題の解決を図ろうとしている