CompTIA Security+とデジタルスキル標準
セミナーレポート

セキュリティの前提知識

DXが加速し、メタバースやWeb3など新しい技術が次々と登場している中、セキュリティがますます重要になっています。

今回、まずはセキュリティの前提からお伝えしていきたいと思います。堅牢なセキュリティを実現するためには、「事前対策」と「事後対策」が重要となりますが、これらの十分に機能させるための要素がCIAと呼ばれる3要素となります。

• 機密性（Confidentiality）
• 安全性（Integrity）
• 可用性（Availability）

これらの3要素が保たれることで、事前対策である予防と、事後対策である対応が十分に機能するようになります。そして、セキュリティ対策を万全に行うためには「人的脅威」「技術的脅威」「物理的脅威」について理解しておく必要があります。

人的脅威

「人的脅威」は、従業員の不正や偶発的な誤りなどが該当します。人的脅威の原因は従業員のセキュリティへの意識の低さに起因しており、日本でも、競合他社に転職した際に機密情報を持ち出し、有罪判決をうけるという事件もあります。

技術的脅威

「技術的脅威」は、標的型攻撃によってシステムの脆弱性が突かれてコンピューターがマルウェアなどに感染して情報漏洩が生じるするケースなどが該当します。世界的にも、米国の石油コンビナートのシステムが狙われてしまし、身代金を払って対応せざるを得なくなったケースもあります。

物理的脅威

「物理的脅威」は災害などによるシステムの停止、情報の破壊などの脅威が該当します。サーバーなどのハードウェアの故障により復旧できなくなるケースなどがあり、たとえば日本の通信会社でも、ルーターの誤作動によって通信障害が発生したというケースもありました。

セキュリティ人材は育成する時代

企業がDX化を成功させるうえで、様々なタイプのIT人材が必要になります。その中で、セキュリティ人材も欠かせない存在の1つです。IT系の企業はもちろんのこと、ITに関係していない企業でも、社内でシステムを運用する場合やセキュリティ対策を行う場合にも相応のセキュリティ知識が要求されます。

しかし急激なIT人材需要の増加により、適切なIT人材が不足しているのが現状です。特にサイバーセキュリティに関する取り組みや技術は、企業や組織において他の分野と比べて大きく不足していることもわかっています。

こうした状況下で現在は、セキュリティ人材をはじめとするIT人材の育成を推し進めていく事例が増えてきています。その中で、多くの企業や組織でセキュリティ人材育成の「ものさし」として採用されているのが、CompTIA Security+になります。

CompTIA Security+とは

CompTIA Security+は、アメリカのIT業界団体であるCompTIAが提供する認定資格の1つです。CompTIAの認定資格は2022年12月現在で270万人以上が認定されており、ベンダー・メーカーに依存しない業務能力の基準としては、客観的かつフェアに評価する資格として世界最大級の試験規模を誇ります。

その中でもSecurity+はセキュリティ人材育成キャリアパスのスタートアップ的な位置づけであり、汎用的かつ業務に必要な知識やスキルを出題範囲としています。そのため、資格認定後、業務にすぐに活かせるというのが強みになっています。

CompTIAではSecurity+の他にも、合計14個の認定資格を提供しています。さらにセキュリティ人材育成以外にもデータ分析やインフラ整備などの人材育成に関して、資格認定を通じたキャリアパスも提示しています。

日本でのCompTIA Security+のニーズ

日本においても、CompTIA Security+のニーズが高まっています。たとえば、陸上自衛隊サイバー要員候補者の技能向上のためにCompTIA Security+やCompTIA Networlk+が採用されました。

日本の大手企業においても、セキュリティ人材育成のためにCompTIA Security+を活用されている企業も増えてきています。最近の事例では、インターネット・アカデミーさんのCompTIA Security+研修の導入された事例として東日本電信電話株式会社（NTT東日本） のケースもありますので、紹介させていただきます。

CompTIA Security+研修の導入事例

東日本電信電話株式会社（NTT東日本）

CompTIA Security+の資格試験は、過去問などでインプットした知識を解答する問題だけでなく、画面上に表示されるシミュレーション環境において、設定やトラブルシューティングを実施してスキルを評価する問題もあります。出題の傾向や対策を知っておかないと短期間での合格は難しいと考え、CompTIA社に相談したところ、CompTIAのトレーニングパートナーや認定講師がいると教えていただきました。そのような理由から、CompTIAのトレーニングパートナーで認定講師も在籍しているインターネット・アカデミーに試験対策研修を依頼しました。
インタビューを見る

CompTIA認定資格で問うデジタル人材育成とは

先ほどは大野様よりCompTIA Security+において、汎用的かつ業務に必要な知識やスキルを出題範囲にしているとお話いただきました。続いて、実際にCompTIA Security+の試験問題を読み解きながら特徴をご紹介します。

デジタルスキル標準とセキュリティ人材育成

近年、セキュリティ人材をはじめとするIT人材の育成の指針として注目されているのが「デジタルスキル標準」です。デジタルスキル標準では、企業が段階的にDX化を進められるように、全社員が身につけるべきスキルを定義した「DXリテラシー標準」と、DX専門人材ごとに求められるスキルを定義した「DXスキル標準」の2つを定義しています。

「DXスキル標準」では、DX人材を次の5つのタイプに分類しており、それぞれタイプごとに役割が定義されています。

1. ビジネスアーキテクト
2. デザイナー
3. データサイエンティスト
4. ソフトウェアエンジニア
5. サイバーセキュリティ

このうち、サイバーセキュリティでは、サイバーセキュリティリスクの影響を抑制する対策を担うことが期待されており、「サイバーセキュリティマネージャー」と「サイバーセキュリティエンジニア」の2つの役割が定義されています。

前者の「サイバーセキュリティマネージャー」はセキュリティマネジメントなどの全体設計にかかわるスキルや知識が要求されるのに対し、後者の「サイバーセキュリティエンジニア」ではプログラミングなどのエンジニア系スキルが要求されます。

CompTIA Security+では、両者の役割の知識やスキルを汎用的に持っておくことが必要になります。Security+の資格認定を通じて、サイバーセキュリティーマネージャーの方であれば最低限のプログラムに関する知識を、サイバーセキュリティーエンジニアの方であれば、セキュリティマネジメントにおいて重要な知識を身につけることができます。