セキュリティ認定資格ガイド

CompTIAのセキュリティ認定資格
「Security+」に挑戦

吉村 睦美
CompTIA日本支局
アシスタントアカウントマネージャー
2005/10/7

---

「職業としてのIT」能力を問うサンプル問題

　いくつかのサンプル問題を紹介しながら、「職業としてのIT」能力を問うとはどういうことなのかを具体的に見ていきます。

＜サンプル問題1＞

　Webサーバの管理者は、Webサーバに対するポートスキャンの兆候を発見しました。ポートスキャンによってWebサーバの脆弱性が露見しないように、サーバ管理者が取るべき行動はどれですか。

A. レジストリをリモートから参照できないように設定する
B. 今後、使用する可能性があるため、すべてのサービスを起動しておく
C. TCPまたはUDPを使用するすべてのポートを閉じる
D. 必要のないサービスやプログラムをアンインストールするか、または停止する

＜サンプル問題2＞

　セキュリティ管理者は、ウイルスに感染したらしいとの報告を受けました。まず初めにセキュリティ管理者が行うべきことはどれですか。

A. ウイルス対策ソフトベンダに確認する
B. ブロードキャストにて全社員に通知する
C. すぐウイルスを削除する
D. 特に何もしない

＜サンプル問題3＞

　組織の情報セキュリティ対策の中で、漏れがちなものはどれですか。

A. 脆弱性チェック
B. 侵入検知
C. リスクアセスメント
D. 組織要員の意識低下

（回答は一番下。問題提供協力：NRIセキュアテクノロジーズ株式会社）

　いかがでしょうか。CompTIAの認定資格には「職業としてのIT」能力を問う3つの特徴があります。

1．顧客満足度の向上、生産性の向上に立った仕事の行動プロセスを評価

　さまざまなケーススタディを出題し、信頼できる行動パターンを評価します。例えば、サンプル問題1は具体的な行動を問う問題ですし、サンプル問題2は生産性を評価するためにプライオリティの高い行動の選択を問う問題です。

2．職業として必要な能力を評価

　製品知識や開発能力では測り得ない、職業としての能力を評価します。サンプル問題3のように、単にセキュリティ技術面だけの改善ではなく、組織に対する意識、配慮がなされているかなども問われます。

3．“いまそこにある危機”から能力の保持を評価

　商品の運用手順やシステム開発能力から評価するのではなく、いまある環境の把握と改善を第一に考えて、求められる技術や知識、行動を評価します。

◆　◇　◆

　では、最後にサンプル問題の答え合わせをしましょう。サンプル問題1はD、2はA、3はDが正解です。全問正解だったでしょうか。

【コラム】 マカフィーがセキュリティ業務能力のベンチマークとしてSecurity+を採用 　マカフィーでは、2004年からヨーロッパをはじめとし世界中の拠点において人材育成プロジェクト「The Workforce development initiative」をスタートさせました。このプログラムにおける目標は「顧客に対し業界に精通しているセキュリティエンジニアを提供すること」「人材育成のため優れた学習環境を創設すること」の2つです。 　また同社では、専門的知識・技能の教育だけではなく、認定資格による認証という形を目指しました。なぜなら、顧客は第三者の認定資格に信頼を置いているため、セキュリティ認定資格を所有する人材は信頼性を示せると考えたからです。 　マカフィーの日本法人でも、「全体的な意識の向上」「セキュリティビジネスの方向性の明確化、全体の質の向上」という方針の下、CompTIA認定資格Security＋とNetwork＋の2つを、セールスエンジニア、カスタマエンジニア職種の全員が入社3カ月後までに取得することを義務付けました。 　認定資格の取得により、「セキュリティ確保のための具体的な提案の実現」「技術レベルだけでカバーできない運用ノウハウ提案の実現」「予防から事後対策のコンサルティングトークの実現」を目指しています。

3/3

Index
CompTIAのセキュリティ認定資格「Security+」に挑戦
	Page1 セキュリティエラーの原因は人的要因 セキュリティに関するトレーニングが不足している
	Page2 「実務能力」が問われる「Security+」
	Page3 「職業としてのIT」能力を問うサンプル問題

関連リンク
	＠IT資格攻略 Security+

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）