今、1番足りない現場のセキュリティ担当者育成を支援する「CompTIA Security+」:「パソコンなんでも相談室」的な業務に従事しているエンジニアにもお勧め
「セキュリティ人材が足りない!」との声に、個人は、そして企業は、何をすれば良いのだろうか?
近年、標的型攻撃による情報漏えいやWeb改ざん、不正送金といったセキュリティ事故が相次いで発生し、メディアでも大きく報じられるようになりました。一方政府もサイバーセキュリティ基本法を定め、また経済産業省も「サイバーセキュリティ経営ガイドライン」を取りまとめるなど、経営層が主体的に関与し、セキュリティ対策に積極的に取り組む機運が高まっています。
しかし、セキュリティ対策に取り組もうと考える企業が必ずぶつかるのが「人材不足」の壁です。
例えば、マルウェア感染などの事態に直面したときの対応に当たるComputer Security Incident Response Team(CSIRT)の整備に着手する企業が増加しています。しかし情報処理推進機構(IPA)の調査「企業のCISOやCSIRTに関する実態調査2016」によると、CSIRTが期待した通りの成果を上げていると考える回答者は少数派です。その原因として最も多く挙げられているのが「能力・スキルのある人員の確保」となっています。
これまでも国内では度々「セキュリティ人材不足」の問題が指摘されてきました。経済産業省が2016年6月に取りまとめた「IT人材の最新動向と将来推計に関する調査結果」では、現時点で約13万人の情報セキュリティ人材が不足しており、東京オリンピックを控える2020年には不足数は約20万人にまで拡大する、と予測されています。
足りない「セキュリティ人材」って、具体的にどんな人?
ところで、一口に「セキュリティ人材」といっても、具体的に求められるスキルとなるとさまざまです。
大学や研究機関で高度な解析や新たなセキュリティ技術開発に携わる研究者から、さまざまな企業や組織にセキュリティサービスを提供するセキュリティ専門企業で働く技術者、システムインテグレーションの中でセキュリティに携わるエンジニア、そして企業や組織の中で日々のセキュリティ運用に携わる担当者に至るまで、全てひっくるめて「セキュリティ人材」と言われがちですが、それぞれ求められるスキルや経験は異なります。人材不足を議論する際には、まずそこを整理して考える必要があるでしょう。
残念ながら現時点では、どの層でもセキュリティに携わる人が足りない、というのが現状です。世界最先端のスキルを備えたいわゆる「トップガン」から現場レベルに至るまで、あらゆる層でセキュリティ人材の育成が必要とされています。
中でも特に「足りない」のが、各企業や組織でセキュリティ対策に取り組む担当者レベル、あるいはこうした企業にセキュリティを考慮したシステムを提案するインテグレーターのセキュリティ人材ではないでしょうか。なぜなら、セキュリティ専門企業の数は限られており、一般の企業や組織の方が圧倒的に多数だからです。
ただし、一般企業や組織にとって「セキュリティ」はビジネスの主目的ではありません。それぞれの事業を成長させるという目的を達成するために必要かつ適切なセキュリティを、組織や業務内容を理解し、経営層や各部署のキーパーソンと調整しながら実現していくことが、現場レベルのセキュリティ人材には求められます。
では、サイバーセキュリティに関する最新動向を理解しつつ、自社に最も適した方法を提案し、上層部に説明できる――そんな人材をどうやって育成すればいいのでしょうか? 外部からプロフェッショナルを雇い入れるという方法もあるでしょうが、日本国内のビジネス慣行や雇用スタイルを考えると、自社内の人材にセキュリティに関する教育を施していく方がベターといえるのではないでしょうか。そんなときに有用な認定資格が、世界的に活動しているIT業界団体「CompTIA」が提供する「CompTIA Security+」です。
現場で最も求められるセキュリティ管理者育成を支援
CompTIAでは、PCやインターネットといった技術が浸透し始めた1993年から、IT業務に関するスキルを評価する認定資格試験を提供してきました。その中には、クライアント環境の運用管理業務に必要なスキルを評価する「CompTIA A+」や、ネットワーク管理のスキルを評価する「CompTIA Network+」などがあります。
CompTIA Security+は2002年、リスクや脅威の高まりを背景に策定され、企業のセキュリティ管理者やエンジニア、セキュリティアーキテクトを目指す技術者に必要なスキルを備えていることを証明する認定資格です。2年程度の実務経験のある情報セキュリティエンジニアを想定し、ネットワークセキュリティ、脅威や脆弱(ぜいじゃく)性、アプリケーション、データ、ホスティングのセキュリティ、アクセスコントロールや認証、暗号化、コンプライアンスといった幅広い分野の知識とスキルを問う内容です。
セキュリティに関するスキルを評価する認定資格は、国内外問わず他にも存在しますし、国内では新たな資格策定に向けた動きも始まっています。CompTIA Security+は、セキュリティのプロフェッショナルを目指す方にも必須となるセキュリティの基本スキルを評価する認定資格です。入門レベルから中堅どころのセキュリティ管理者を育成するために必要となるスキル全てを網羅していることが特徴の1つです。また、その他の特徴としては、CompTIAの他の資格同様にワールドワイドに通用し、かつベンダーニュートラルな資格であることです。いわゆる「引っかけ問題」が少ない実践的な内容で、知識だけでなくシミュレーション問題を通して、実際に手を動かす実行力まで確認できるようになっています。
実際にCompTIA Security+を取得したユーザー企業(SOMPOシステムズ)の担当者からは、「ベンダー固有ではないセキュリティ知識を体系的に身に付けられるように思います。また、世界的に認知度の高い資格ですので、資格取得によりスキルレベルの客観的な証明にもつながります」という声が寄せられています。
この担当者は、直接サイバーセキュリティ対策に当たる部署に所属しているわけではないそうです。しかし「ITサービスマネジメントの実践現場においても、情報の『機密性』『完全性』『可用性』を維持・改善していくことは、重要な責務の1つ」という認識から、CompTIA Security+の取得に取り組んだと言います。
別のユーザー企業の担当者(日本赤十字社)は、ITと全く関わりのない部署からコンピュータやネットワークの保守業務の担当部署に異動になったことが、資格取得に取り組むきっかけでした。自己のスキル不足もさることながら、「最近では標的型攻撃が急増しているため、よりセキュアなネットワークの構築やソリューションの導入検討に耐え得る知識やスキルの習得が重要」と考え、CompTIA Security+に取り組んだそうです。
他にも、セキュリティ担当者の入門編として必要な知識を満遍なく身に付けることができ、しかも実務に使える実践的な内容であることを評価する声が寄せられています。セキュリティに携わる担当者はもちろん、「ITサービスに携わる多くの人にお勧めできる資格」「『パソコンなんでも相談室』的な業務に従事している方々にもお勧めできる」という声もあります。
システム提案側にもセキュリティ要件は不可欠
こうしたユーザー企業にシステム構築を提案するシステムインテグレーター側も、多くの企業がCompTIA Security+資格の取得に取り組んでいます。
プロジェクト管理やアプリケーション開発が主業務である「NECプラットフォームズ」のシステムエンジニアは、「セキュリティに対する要件は年々厳しくなり、流出や漏えいなどの事故は絶対に避けなければなりません。セキュリティに関する知識なしでは、要件定義も難しくなっていると思います」という問題意識から、セキュリティに関するスキルアップを目指し、CompTIA Security+に取り組んだそうです。
実際に学習と試験を通じて、「普段から業務でセキュリティを意識し、知識習得に努めているつもりでしたが、理解不足の分野を知ることができ、改めてセキュリティについて学ぶ良いきっかけとなりました」と振り返っています。
従業員のセキュリティ学習を支援する環境作りも
公認会計士、税理士、情報処理技術者試験をはじめとした数多くの資格試験に対する受験指導を行っている「資格の学校TAC」では、IT技術者育成のためにCompTIA Security+資格取得のための各種教材、トレーニングを提供しています。なかでも、約15分単位で構成された講義動画をWebで配信する「Security+ Web通信コース」は、まとまった時間が取れないときでもスキマ時間を活用して少しずつ学習を進めることができ、外出時や電車の中など、場所を問わず、スマートフォンから視聴、学習できるため、とても役立つとの声が集まっています。
セキュリティに関する基礎的な用語が1つ1つきちんと解説されている上、レベルチェックテストによる理解度の確認も可能となっており、苦手分野を理解した上で繰り返し学習することもできます。「よく分からずにWeb講義動画を眺めるだけ……ということにならず、学習を前向きに進めることができた」と述べる受講者もいらっしゃいました。
このようにCompTIA Security+の資格取得者からはおおむね満足の声が聞かれたのですが、もう1つ考えておきたいポイントがあります。企業が本気でセキュリティ人材不足の解消を考えるならば、「足りない、足りない」と口で言うだけではなく、こうした取り組みを支援する環境を整えることも重要でしょう。
CompTIA Security+を取得した「SOMPOシステムズ」では、非常に興味深い取り組みをされていました。それは、社内勉強会に加え、「『Learning50』という自己啓発支援の取り組みを行っており、平日の業務時間を学習時間の一部に充てることが可能」というものです。
本当にセキュリティ人材が必要だと考えているのであれば、学習に必要な時間や費用面を支援し、求められるスキルを得られる環境を整備することが重要でしょう。そして、資格で習得したスキルをフルに活用できる環境も併せて整備することが、資格とそのスキルを100%生かすコツです
Copyright © ITmedia, Inc. All Rights Reserved.
提供:CompTIA
アイティメディア営業企画/制作:@IT自分戦略研究所 編集部/掲載内容有効期限:2016年11月27日