サイバーセキュリティに関する人材の不足が指摘されるが、日本だけの話ではない。世界各地でその需要は高まる一方だ。IT技術者育成のための資格を世界規模で展開するCompTIAは、セキュリティ人材育成のための資格CompTIA CSA+(CyberSecurity Analyst+)を6月末より開始している。CompTIAは、1982年に設立された米シカゴに本部を置き、世界10拠点でIT人材育成のための活動を行っている団体だ。ベンダーニュートラルなIT技術をはかる認定試験は2015年6月の段階で認定資格者総数は200万人を超えている。

CompTIAの認定資格とは

CompTIAの認定資格はハードウェアやOSのスキルにモバイル機器、プリンタの管理運用など20年以上活用されている「A+」や、ネットワークの実装、プロトコルの知識やネットワークのパフォーマンスなど技術を扱う「Network+」、クラウド環境におけるセキュアな実装や運用管理スキルを扱い「Cloud+」など16分野でスキルの認定を行っている。製品やサービスに依存しない形でのITスキルの認定していくことで一定の業務の基準を作ることが目的の資格認定試験だ。

CompTIAでは、米国国防総省の情報保証に関連するすべての人材が必須資格として活用される「CompTIA Security+」も提供しているが、今回新しく加わったCompTIA CSA+は、脅威検出ツールの構成や使用、その結果分析などより専門度が高い。都内で開かれた新資格の説明会において、CompTIAのジェームス・スタンガー氏は、その背景について述べた。

CompTIA プロダクト部門 シニアディレクター ジェームス・スタンガー氏

同氏は世界をまたにかけ、実際に多くの企業とのミーティングを行っているが、名だたる大手IT系ベンダーであっても、セキュリティにおける人材育成ニーズが特に多いという。長期的に企業ネットワークに潜伏するAPT(Advanced Persistent Threat)やランサムウェア、BEC/BPC(Business Email Compromise)、DDoSやIoTセキュリティと懸念とともにセキュリティコストも伸びる一方だが、世界的にセキュリティアナリストの育成がこれらを解決していく上で重要だと考える企業が増加しているという

APTに代表される長期的なネットワークへの潜伏や標的型攻撃の多様化によるリスク、組織でのセキュリティ対応コストが伸び続ける現状と組織内でのセキュリティの担保は世界的な課題になっている

ファイアウォールなど組織外部から提供されるシグネチャーベースのリソースだけでは、個々の企業の特性に応じたセキュリティに対応できない状況が生み出されつつある。組織内部のネットワークにおけるビヘイビア異常、組織内でのユーザーベースの異常の特定と個別に分析できるアナリストの組織内での需要が増しているのだ。CSA+では、講義や理論よりも実務的なスキルに比重を置いているが、セキュリティの凄腕である必要はないとも同氏は述べている。CompTIAのセキュリティキャリアパスでは、Security+とCASPの間に位置するが、セキュリティアナリストの重要性が増していくことは間違い無いだろう。

CompTIAが提供するサイバーセキュリティパスは、それぞれ、「IT Fundamentals」、「A+」、「Network+」、「Security+」、「CSA+」、「CASP」の6つ。今回、新設されるCSA+は、上から二番目のランクにあたる

脅威検出や脅威分析を行うツールを使用し、分析、監視ができる実践的な技術を評価する「CSA+」

CompTIAの実際の試験のデモPC。試験会場では、このように設置されたPCを使って試験を行う。表示される課題に対応し、PCを動かし課題をクリアしていく

CSA+は、情報セキュリティに関連する3~4年の実務経験を有し、必須ではないが、同社のサイバーセキュリティパスの「Security+」の取得及び、それと同等の技術レベルを習得していることを前提としている。試験は公式ページにも掲載されているが、脅威の管理、脆弱性の管理、サイバーインシデントの対応、セキュリティ設定とツールの設定の4章構成で、多岐選択式の問題とパフォーマンスベースの実地試験から成っている。会場では、実際に試験で配信されるPC上でのパフォーマンスベースの試験が展示されていたが、実際のPC上で、セキュリティツールを駆使して課題をクリアしていくものとなっている。知識ベースだけではクリアできずに操作スキルが要求される。

CompTIAの「CSA+」の公式Webページ

試験は、2017年6月20日より配信が開始され、日本国内のピアソンVUE認定テストセンターにて受験できる。試験は85問、165分で行われ、結果は、100から900までのスコア形式で判定され750以上で合格となる。費用、会場、出題範囲などは、Webページに公開されている。