 |
セキュリティ認定資格ガイド
CompTIAのセキュリティ認定資格
「Security+」に挑戦
CompTIA日本支局
アシスタントアカウントマネージャー
2005/10/7
CompTIA(コンピュータ技術産業協会)は1982年に設立された非営利のグローバルIT業界組織です。欧米を中心に14拠点(日本も含む)を持ち、メンバー企業として89カ国で2万社以上の会員が参加しています。
CompTIAでは現在11種類の個人向け認定資格を提供しています。例えば、PC運用・管理の“実務基盤”とされる知識やスキルをソフトウェア/ハードウェア両面から問う「A+」、ネットワーク技術に携わる職種において必要とされる知識、スキル、問題解決能力、業務遂行能力を問う「Network+」など、世界中で60万人を超える認定者が存在しています。
今回紹介する「Security+」は、人為的エラーで被る損害を最小限に抑える技術面での「備え」または改善の提案ができる人材や、全社員に対するセキュリティポリシーの策定および浸透、教育の提案ができる人材を養成するために、ありとあらゆる分野におけるセキュリティに関する考えが網羅され出題される認定資格です。
本稿では、Security+とはどのような認定資格なのか、そして社員が取得することで企業のセキュリティに対してどのように役立つのかについて紹介したいと思います。実際に、いくつかの企業で社員のセキュリティ対応力の底上げのために、社員研修の一環として取り入れています。
最後にSecurity+のサンプル問題をいくつか載せておきますので、ぜひ腕試しをしてみてください。
 |
セキュリティエラーの原因は人的要因 |
まず、企業におけるITセキュリティへの取り組み、もしくは意識について見ていきましょう。CompTIA本部では、2004年12月から2005年1月にかけて「セキュリティベンチマーク調査」を実施しました。
これはセキュリティ違反、セキュリティに対する意識、セキュリティに関するトレーニングや認定資格に焦点を当てたリサーチで、489人(メンバー企業101社、非メンバー企業388社)の回答を得ました。このうち半数以上はマネージャ以上の意思決定をされる立場にいました。
 |
| 図1 回答者の社内における役割 |
アンケート項目の1つ「ITセキュリティ違反の原因は」では、大半が「人為的エラー」を挙げています。
 |
| 図2 ITセキュリティ違反の原因は? |
そして、「人為的エラー」と回答した企業の多くはITセキュリティに関する知識不足(従業員の手順ミスを含む)やトレーニング不足が原因としています。また、企業内でITセキュリティに関するポリシーが浸透していないことも挙げられています。
 |
| 図3 人為的エラーの原因は? |
企業内でITセキュリティ違反による問題が発生した場合、企業は解決するためのコストや人為的作業、そして一番困難な作業である社会的信用の回復といった多くの問題を抱えます。これは昨今の報道でも明らかです。ちなみに、解決のためのコストは従業員数が多くなるほど大きくなり、「5000ドル以上のコストが発生した」と回答した44%が1000人以上の従業員数を抱える企業でした。
|
セキュリティに関するトレーニングが不足している |
しかし、企業におけるリスク管理について調査したところ、企業の全ITスタッフのうちセキュリティトレーニングを受けている割合は少ないことが分かりました。一方、セキュリティトレーニングがセキュリティ環境を改善すると答えた企業が全回答者の84%にも達します。
このことから、多くの企業はセキュリティ違反で被る損害をITスタッフへのセキュリティトレーニングにより最小限に抑えることができると考えているにもかかわらず、実際には十分に教育が行われていないということが読み取れます。例えば、ITスタッフに対して意識向上のためのセキュリティトレーニングを実施する計画があるものの、実際にはトレーニングを行っていない企業は49%を占めました。
セキュリティトレーニングによるITセキュリティの改善を行った際、実感としてどれだけ経費削減につながったか調査したところ、平均値と中央値に大幅な違いが見られました。これは、リスクマネジメントとしてのセキュリティ対策の価値やトレーニングに対する投資の評価に大きな差があることを示しており、問題が発生してから初めて事の重大さを知るセキュリティならではの結果と考えます。特に、問題が発生していない際の過小評価を中央値で垣間見ることができます。
回答の平均値 |
回答の中央値 |
|
| セキュリティトレーニングに関するROI(投資利益率) 回答数:100 |
24万3605.05ドル |
1万ドル |
調査結果全体を通して、深刻なセキュリティ問題が発生しないとセキュリティに対する「備え」が甘く、結果として人材育成や投資を過小評価する企業が多いことが分かりました。
1/3 |
 |
| Index | |
| CompTIAのセキュリティ認定資格「Security+」に挑戦 | |
 |
Page1 セキュリティエラーの原因は人的要因 セキュリティに関するトレーニングが不足している |
| Page2 「実務能力」が問われる「Security+」 |
|
| Page3 「職業としてのIT」能力を問うサンプル問題 |
|
| 関連リンク | |
| @IT資格攻略 Security+ | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
