CompTIAから提供されているセキュリティ関連の認定資格のご紹介とともに、企業で導入されている事例をご紹介。
CompTIA Security CASE STUDY
About CompTIA
The IT Industry Trade Association
CompTIA is a global, not-for-profit IT trade association and the voice of the industry.
1982年、様々な IT規格の標準化を提言するため、ITベンダーとパートナー企業がオー プンな対話を行う場となるべくグローバルな IT 業界団体としてシカゴで設立。 1990 年、IT 業界の活動を反映するべく、名称を CompTIA( the Computing Technology Industry Association)に変更。欧米を中心とし 10 拠点に拡大し、 2001 年 4 月に CompTIA 日本支局を設立。 CompTIA は、 ICT 業界を中心に 2,000 社以上のメンバー企業と、 3,000 以上の学 校機関、 教育事業者とパートナーシップを締結し、 数万人を超える IT プロフェショ ナルのコミュニティを運営しています。 IT 業界団体として、IT ハードウェア / ソフトウェア、サービスを提供する企業や、 業界のキーとなる IT プロフェッショナルなどの成功と成長に貢献できるよう、IT に 携わる企業や個人の利益を高めるための「教育」、CompTIA 認定資格での「認定」、 IT 業界の声を反映し IT 政策に反映するための「政策支援活動」、IT 業界への「社会 貢献」の 4 つを柱として活動を続けています。
メンバー CompTIA は、ワールドワイドで 2,000 社を超えるメンバー企業 とパートナーシップを締結しています。
パートナー ワールドワイドで、3,000 以上の学校機関、 教育事業者とパート ナーシップを締結しています。 認定資格 CompTIA 認定資格試験は、ワールドワイドで 165 以上の国と地 域で配信され、グローバルスタンダードとして高く認知されてい ます。
About CompTIA Certificaiton
1993 年、IT 環境の変化に伴い、IT を管理する人材の必要性の高まりから、ビジネス環境において利用されている IT ハードウェア / ソフトウェア を理解し、より複雑な IT 環境の管理 / サポート / 運用を行うスキルを評価する CompTIA A+ の提供を開始。その後、時代のニーズに即した人材を 効率的に輩出できるように認定資格が開発されています。CompTIA 認定資格は、業界のエキスパートにより開発され、実践力、応用力を評価する ベンダーニュートラルの認定資格として、法人を中心にワールドワイドで 200 万人以上に取得されています(2018 年 4 月現在)。 CompTIA認定資格のIT業界各社による試験開発プロセスの信頼性と有効性が認められ、米国規格協会(ANSI)によりISO17024に認定されています。 IT 業務での「実務能力」を評価する唯一の認定資格 ワールドワイドで 200 万人以上が取得
グローバル CompTIA 認定資格は、165 以上の国と地域で配信され、グロー バルスキルスタンダードとして高く認知されている認定資格です。 CompTIA 認定資格を取得することで、日本国内だけではなく、 世界中でスキルを証明することを可能にします。 スコープ CompTIA は、エントリーレベルの人材からエキスパートの人材 まで、様々な IT 業務や時代のニーズに即した人材を効率的に育成 することを目的とした認定プログラムを提供しています。
ベンダーニュートラル / テクノロジーニュートラル CompTIA 認定資格は、ベンダーニュートラル、テクノロジー ニュートラルな認定資格です。中立的な立場で、IT スタッフが業 務やキャリアにおいて必要とするスキルを提供します。
グローバルスキルスタンダード CompTIA 認定資格は、「業界の業界による業界のための認定資格」 です。様々なコミッティが中心となり、ニーズ調査、職務分析や リサーチを経て、SME(サブジェクトマターエキスパート)と呼 ばれる現場関係者により開発が進められます。
世界的評価 CompTIA 認定資格の IT 業界各社による試験開発プロセスの信頼 性と有効性が認められ、米国規格協会(ANSI)により ISO17024 に認定されています。
キャリアパス / ロードマップ CompTIA 認定資格を取得することにより、他認定ベンダーから 提供されている認定資格へのキャリアパスの基盤を作ることがで きます。また、他ベンダーで提供されている認定資格での実務経 験を免除される等のキャリアパスがあります。
CompTIA Cybersecurity Career Pathway
CompTIA IT Fundamentals は、PC やスマートフォ ン、タブレットなどのハードウェアコンポーネントと 機能、互換性やネットワーク、セキュリティ、基本的 な IT リテラシーに関するスキルを評価する認定資格 です。 学生や職種転換などにより IT 業界での就業を希望さ れる方に最適な認定資格です。 • 学生 • 内定者 / 新入社員 • セールスアソシエイト • マーケティングスペシャリスト • カスタマーサポート CompTIA A+ は、PC やタブレット、モバイルといっ たハードウェア、Windows、iOS や Android といっ た OS やソフトウェア、またプリンターなどの周辺機 器に関連したスキルを評価する「ポスト PC 時代」の 人材育成に最適な認定資格です。 IT 運用管理業務における、12 ヶ月程度の実務スキル を評価します。 • テクニカルサポート • フィールドサポートエンジニア • IT サポートエンジニア • IT 管理者 CompTIA Network+ は、「ネットワーク技術」に携 わる職種において、実務上共通して必須なネットワー クの構成、運用、トラブルシューティングなどスキル をはじめ、セキュリティや、ツールを用いたトラブル シューティング、仮想化などのスキルを網羅する認定 資格です。 ネットワーク関連業務の 9 ヶ月程度の実務スキルを評 価します。 • ネットワークエンジニア • ネットワーク管理者 • IS コンサルタント • ネットワークフィールドエンジニア CompTIA Security+ は、セキュリティに特化したワー ルドワイドの認定資格です。脅威や脆弱性の分析、セ キュリティを考慮したネットワーク設計、リスクマネ ジメントやアイデンティティ管理などのスキルを網羅 する認定資格です。 セキュリティ関連業務の 2 年程度の実務スキルを評価 します。 • セキュリティスペシャリスト • セキュリティコンサルタント • セキュリティエンジニア • セキュリティ管理者
CompTIA CySA+ は、IT セキュリティにおける分析 と、セキュリティ全体の改善を実行するために必須と なるスキルを評価する認定資格です。企業 / 組織の重 要なインフラやデータのセキュリティを維持するため に必要となる脅威検出 / 脅威分析のツールを使用、分 析、監視するスキルを証明します。 セキュリティ実務者としての 3 ~ 4 年の実務スキルを 評価します。 • セキュリティアナリスト • 脆弱性アナリスト • サイバーセキュリティスペシャリスト • セキュリティエンジニア CompTIA PenTest+ は、ネットワーク上の脆弱性を 特定、報告、管理するための実践的なペネトレーショ ンテストを行うサイバーセキュリティプロフェッショ ナル向けの認定資格です。ペネトレーションテストの 手法、脆弱性評価、また攻撃があった際のネットワー クを回復するために必要となるスキルを評価します。 • ペネトレーションテスター • ペネトレーションテストアナリスト • 脆弱性評価アナリスト • 脆弱性評価マネージャ • 脆弱性管理エンジニア • ネットワークセキュリティマネージャ CompTIA Advanced Security Practitioner+(CASP+) は、セキュリティ要件、リスク管理、インシデント対応、 クリティカルなエンタープライズセキュリティでのス キルを網羅する認定資格です。 IT 全般の管理者として 10 年、そのうちセキュリティ 管理者として 5 年以上の実務スキルを評価します。 • サイバーセキュリティプロフェッショナル • IS プロフェッショナル • 情報セキュリティアナリスト • セキュリティアーキテクト
Protect Your Organization with Security+ Certification
CompTIA Security+ は、国際的に広く認知されている規格である ISO/ ANSI 17024 を取得しており、世界中の多くの企業や学校で活用をいただ いています。最も顕著な例としては、米国国防総省の情報保証に関連する 全ての人材に対し、CompTIA Security+ は必須資格として活用されてい ます。 CompTIA Security+ 取得後は、次のようなキャリアで活躍できます • セキュリティアーキテクト • セキュリティエンジニア / セキュリティ管理者 • セキュリティコンサルタント • 情報保証に携わる技術者 様々なグローバル企業では、自社の社員の育成に CompTIA Security+ を必須 / 推奨資格として活用されています
CompTIA Security+ SME(試験開発) ■海外 / 一部抜粋 • Dept. of Navy • DoD (Air Force) • U.S. Army • US Marine Corp • State of Minnesota • IBM • IBM Managed Security Services • Cereberus Information Security • Deloitte & Touché LLP ■日本(50 音順) • S&J 株式会社 • NRI セキュアテクノロジーズ株式会社 • 日本電気株式会社 • 富士ゼロックス東京株式会社
主な出題範囲
CompTIA Security+ 認定資格試験では、アプリケーション、ネットワーク、デバイスのセキュリティを確保するために必要な知識とスキルを証明 します。認証管理やアクセス管理の手法といった企業におけるセキュアな環境維持、物理セキュリティコントロール、災害復旧や事業継続といった リスク管理、またフォレンジックのコンセプト、クラウドや組み込みシステムにおけるセキュリティコンセプトや、セキュリティの基本となるネッ トワークセキュリティのコンセプトなどセキュリティを管理・運用していく上で必須となるスキルが網羅されています。 CompTIA Security+ 認定資格試験には、多肢選択式の問題とパフォーマンスベースの問題の両方が含まれます。
CompTIA Security+(試験番号:SY0-501) 第 1 章 脅威、攻撃、脆弱性
21% 22% 15% 16% 14% 12%
第 2 章 テクノロジーとツール 第 3 章 アーキテクチャと設計
第 4 章 アイデンティティとアクセス管理
第 5 章 リスク管理 第 6 章 暗号化と PKI
試験実施概要
試験番号 SY0-501
問題数
制限時間
合格ライン
最大で 90 問
90 分
100 ~ 900 のスコア形式 750 以上
Strengthen your organization's ablity to combat malware and threats with behavioral analytics.
CySA+
CompTIA Cybersecurity Analyst(CySA+)を取得することで、組織の 重要なインフラやデータのセキュリティを維持するために必要となる脅威 検出 / 脅威分析のツールを使用、分析、監視するスキルが習得できます。
CompTIA CySA+ SME(試験開発) ■海外 / 一部抜粋 • ASICS • Department of Defense • Department of Treasury •
US Department of Veterans Affairs
• • • • • • •
US Navy
Deloitte and Touche LLC Federal Reserve Bank of Chicago
CompTIA CySA+ 取得後は、次のようなキャリアで活躍できます • IT セキュリティアナリスト • セキュリティオペレーションセンター(SOC)アナリスト • 脆弱性アナリスト • サイバーセキュリティスペシャリスト • 脅威インテリジェンスアナリスト • セキュリティエンジニア
Amazon (AWS)
Ricoh USA
Linux Professional Institute
Target ■日本(50 音順) •
株式会社アシックス S & J 株式会社
• •
NRI セキュアテクノロジーズ株式会社
主な出題範囲
CompTIA CySA+ は、CompTIA Security+ と CompTIA Advanced Security Practitioner(CASP)の中間に位置付けられ、より高度なセキュリティ スキルを育成するためのキャリアパスの役割を果たします。これら 3 つの CompTIA 認定資格を取得することで、セキュリティに関連する実務スキ ルのキャリアが育成されます。 CompTIA CySA+ 認定資格を取得することで、以下のスキルの習得が可能です。 • オープンソース検出ツールの設定と実行することができる • データ分析の実行することができる • 脆弱性、脅威、リスク分析の結果から、組織 / 企業、またはアプリケーション / システムのセキュリティを維持するという目的のために有効な 手段を実行することができる
CompTIA CySA+(試験番号:CS0-001) 第 1 章 脅威の管理
27% 26% 23% 24%
第 2 章 脆弱性の管理
第 3 章 サイバーインシデントの対応 第 4 章 セキュリティ設定とツールの設定
試験実施概要
試験番号 CS0-001
問題数
制限時間
合格ライン
最大で 85 問 165 分
100 ~ 900 のスコア形式 750 以上
Go on Cyber Offense with PenTest+ Certification
CompTIA PenTest+ は、サイバーセキュリティのスキルを成熟させる、 またペネトレーションテストのスキルを習得しようとする IT プロフェッ ショナルのための認定資格です。CompTIA が推奨する「Cybersecurity Career Pathway」の中級レベルに位置するベンダーニュートラルの認定 資格です。
CompTIA PenTest+ SME(試験開発) ■海外 / 一部抜粋 • ASICS • Accenture Security • Deloitte Ireland • Hacktive Security • Las Vegas Sands Corporation • Paylocity ■日本(50 音順) • S&J 株式会社 • NRI セキュアテクノロジーズ株式会社 • 自衛隊指揮通信システム隊
CompTIA PenTest+ 取得後は、次のようなキャリアで活躍できます • ペネトレーションテスター • 脆弱性アセスメントアナリスト • ペネトレーションテストアナリスト • 脆弱性管理エンジニア • 脆弱性アセスメントエンジニア • 脆弱性テスター
主な出題範囲
CompTIA PenTest+ は、ペネトレーションテストの認定認定資格で唯一パフォーマンスベースの試験を実施する資格です。これにより、スキルと 知識はもちろんのこと、実際のタスクの中で実行するスキルを有することを証明します。実践的なペネトレーションテストの手法や実施に関連する スキルだけではなく、プランやスコープといった脆弱性管理に関連するスキルも評価します。 CompTIA PenTest+ は、従来のデスクトップやサーバーに加えて、クラウドやモバイルなどの新しい環境でテストを実行するためのスキルを評価 するという特徴もあります。
CompTIA PenTest+(試験番号:PT0-001) 1.0 計画とスコープ
15% 22% 30% 17% 16%
2.0 情報収集と脆弱性の識別 3.0 攻撃とエクスプロイト
4.0 ペネトレーションテストツール 5.0 レポートの作成とコミュニケーション
試験実施概要
試験番号 PT0-001
問題数
制限時間
合格ライン
最大で 90 問 165 分
100 ~ 900 のスコア形式 750 以上
Gain Mastery-Level Security with CASP+ Certification
CASP+(CompTIA Advanced Security Practitioner+)は、ポリシーやフレー ムワークの管理といったマネジメント業務ではなく、セキュリティの実務者と してのキャリアに進む方に適切な認定資格です。 CASP+ は、サイバーセキュリティの概念、エンジニアリング、複雑な環境下 におけるセキュアなソリューションの統合と実装を行うためのスキルと知識を 網羅し、レジリエンスの高い企業をサポートする人材を育成します。
CompTIA CASP+ SME(試験開発) ■海外 / 一部抜粋 •
Department of Defense, US Army U.S. Department of Defense Amazon Web Services American Financial Group Deloitte & Touche LLP GE Capital/Synchrony Financial
• • • • • • •
Motorola
CASP+ 取得後は、次のようなキャリアで活躍できます • サイバーセキュリティ /IS プロフェッショナル • インフォメーションセキュリティアナリスト • セキュリティアーキテクト • IT スペシャリスト • サイバーセキュリティリスクアナリスト • セキュリティエンジニア • アプリケーションセキュリティエンジニア
Texas Military Department
■日本(50 音順) •
NRI セキュアテクノロジーズ株式会社
• •
S&J 株式会社 株式会社クレオ
主な出題範囲
CASP+ 認定資格試験には、パフォーマンスベーステストが含まれており、シミュレーション環境で実際に作業を行うことで実務的なスキルを評価し ます。 • エンタープライズセキュリティの出題範囲は、オペレーションとアーキテクチャの概念、手法、要件などが含まれています。 • トレンドデータの解釈やビジネスゴールを達成するために必要とされるサイバーディフェンスニーズなどの予測からリスク分析を実施できるス キルに重点を置いています。 • モバイルやスモールフォームファクタ (Small Form Factor, SFF) デバイス、ソフトウェアの脆弱性のようなセキュリティ管理の出題が拡充さ れています。 • クラウドと仮想化テクノロジーをエンタープライズアーキテクチャにセキュアに統合するためのスキルが広く網羅されています。 • ブロックチェーンやモバイルデバイスの暗号化などの暗号技術の実装について出題されています。 CASP+ は、最低 10 年の IT 管理者としての実務経験を持ち、そのうち少なくとも 5 年は企業におけるセキュリティ実務者としての経験をお持ちの 方を対象に開発されています。 CASP+(試験番号:CAS-003) 1.0 リスクマネジメント 19% 2.0 エンタープライズセキュリティアーキテクチャ 25% 3.0 エンタープライズセキュリティオペレーション 20% 4.0 エンタープライズセキュリティにおける技術統合 23% 5.0 調査、開発およびコラボレーション 13%
試験実施概要
試験番号 CAS-003
問題数
制限時間
合格ライン
最大で 90 問 165 分
スコアは表示されず合格 / 不合格のみ
米国国防総省での情報保証の役割を担う人材に 必須とされる CompTIA 認定資格
Government Case Study
米国国防総省(The U.S. Department of Defense: DoD)は、 効果的に DoD の情報、情報システム、情報インフラを守るため、 十分なスキルを持ち資格を取得した、マネージャ、エンジニ ア、コントラクタ、そして、特権的アクセスをもつユーザーな どすべての情報保証を必要とする人材に対し、「DoD Directive 8570.1M(米国国防総省指令 8570.1M )」への準拠を要求して います。 国家の安全に重要な仕事である DoD に携わる全員の知識とスキ ルが高い水準のレベルであることを保証するため、DoD では、 CompTIA A+、Network+、Security+、CySA+、CASP+ を 含む認定資格の取得を必須としています。
米国国防機関の IT 責任者によれば、インシ デントの識別および解決、伝達、データ漏え いの防止などにおける職員のスキルが、民間 により提供されている IT 認定資格によって 向上したといいます。 ■情報保証(IA)の認定資格を有する人員は、 インシデントとその影響に関する正確な状況 を認識する能力が高い。(JITC、BD09) ■認定資格によって共通言語が確立されるた め、CND/SP(コンピュータネットワーク防 御 / サービスプロバイダ)とヘルプデスクと の間でコミュニケーションが円滑になり、早 い段階で問題解決が可能になる。(Agency CISO) ■認定資格は、試験に合格しなかった者まで 含めて全員のパフォーマンスを向上させる。 (EUCOM 調査) ■軍関係でサイバー人材に対し、トレーニン グと認定を行うと離職率が下がる(。INSCOM NCO) ■認定資格の取得者が多くなるほど、データ 漏えいの発生件数が少なくなる。(EUCOM 調査) ■ 認定資格が全体像としてのビジョンを 伴っていれば(Navy Carrier IAM)、職務に 関連するモラルトレーニングが向上する。 FISSEAAnnual Conference における米国国防総省の Defense Information Assurance Program(DIAP) 責 任 者 George Bieber 氏が行ったプレゼンテーション『Certification in DoD』 より抜粋(2011 年 3 月)
CompTIA A+ は、IT 技術者の基本スキルを評価するワールドワイドで活用されている認定 資格です。267 ヵ国、100 万人以上に取得されています。 「ポスト PC」環境のハードウェア / ソフトウェアのスキルが網羅されています。
CompTIA Network+ は、ネットワークの設計・構築、管理・運用に必須とされるスキル を網羅した認定資格です。最新の改訂では、セキュリティの出題がさらに強化されています。
CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関連する スキルや、セキュリティインシデントの発生を予防するため定期的に実施されるべき運用 手順などのスキルを評価する認定資格です。
CompTIA CySA+ は、組織の重要なインフラやデータのセキュリティを維持するために必 要となる脅威検出 / 脅威分析のツールを使用、アウトプットの分析、監視するスキルを評価 する認定資格です。
CySA+
CASP+(CompTIA Advanced Security Practitioner+)は、より高度な IT セキュリティ スキルのニーズに応え開発されました。複雑化するセキュリティインシデントに対応でき るように、俯瞰的に思考し、明確なセキュリティソリューションを実装できるスキルを育 成する認定資格です。
グローバルクラウド案件に対応できる人材強化のため CompTIA 認定資格をスキル基盤として活用 クラウド環境に対応できる広範なテクニカルスキルと、 グローバルクラウド案件をマネジメントできる能力を総合的に強化
Business Case Study
取得対象者 グローバルクラウド案件の対応を担う プロジェクトマネージャ (PM) およびシステムエンジニア (SE)
取り組みの背景 NTT コミュニケーションズ株式会社では、早期より、クラウドによる経営環境の変化に対応した サービスを展開。グローバルネットワークと直結した通信事業者ならではのサービスを展開することで、 法人のお客さまの ICT 環境を最適化し、経営改革に貢献しています。 人材育成の観点では、従来の「PM 能力」・「SE 能力」に加え、「グローバルクラウド案件対応能力」の 強化が必要となっています。 グローバルクラウド案件に対応しうる人材とは? • お客さま要件を理解し、カスタマイズ / 最適化できる能力 • 文化 / 商習慣 / 業務プロセス / 品質管理手法等の違いを理解し、海外ベンダーや海外現地法人と協 業して、プロジェクトをコントロールし完遂できるマネジメントスキル • インフラ~アプリケーションに至る幅広い ICT テクニカルスキル、P2V/V2V のマイグレーション スキル / ノウハウ CompTIA 認定資格を導入 「グローバルで通用する認定資格を!」
NTT コミュニケーションズ株式会社 東京都千代田区内幸町 1 丁目 1 番 6 号 http://www.ntt.com/
「グローバルクラウド案件対応に 必要な総合的スキルを習得するた め、CompTIA 認定資格が有効と 考えます。 」 ソリューションサービス部 企画部門 人事・人材育成担当
CompTIA Cloud Essentials は、 ビ ジネス、技術的側面から見たクラウドコ ンピューティングの意義や導入によるメ リット / デメリットを判断し運用できる 知識とスキルを証明する認定資格 CompTIA Cloud+ は、クラウドの運 用やサービスの提供など、クラウド環境 で業務を実行する IT エンジニアが必要 とされるスキルとベストプラクティスへ の理解を評価する認定資格 CompTIA Project+ は、業界を問 わずプロジェクトマネジメントに必 要な標準知識とベストプラクティス に基づく実務能力を評価する認定資 格
CompTIA Security+ は、セキュリティ 概念、脅威や脆弱性、ツール、対応手順 に関連するスキル、インシデントの発生 を予防するため定期的に実施されるべき 運用手順等のスキルを評価する認定資格 CompTIA CySA+ は、IT セキュリ ティアナリスト、脆弱性アナリスト、 脅威インテリジェンスアナリストを 対象に開発され、脆弱性、脅威、リ スクを特定し対策を講じるといった スキルと知識を評価する中級レベル の認定資格
取り組み ■ Off-JT の一つとして活用
導入の CompTIA 認定資格 ■ CompTIA Cloud Essentials ■ CompTIA Cloud+ ■ CompTIA Project+ ■ CompTIA Security+ ■ CompTIA CySA+
• STEP1: グローバルクラウド案件対応に必要なスキル定義 (「スキルチェックシート」) • STEP2: チェックシートを用いた個人別スキル棚卸 / 現状把握、強化分野 / 育成計画の立案 • STEP3: 育成計画に基づくスキルアップ施策の実行 ( 各種研修・資格取得・勉強会への参加 等 ) • STEP4: 実案件への応用、ノウハウ蓄積 / 展開 ■ STEP3 の施策例 • CompTIA 認定資格の早期取得に向けた教材配布 / 受験料支援、取得者によるノウハウ / 事例共有 • ICT テクニカル研修派遣 (NW/ サーバ / ストレージ / 仮想化技術 / セキュリティ 等 ) • グローバル PM 育成特設研修 等 「求められているクラウド人材とは、NW/ サーバ等の ICT のレイヤや商習慣といった壁を越え て「シームレス」に対応できる人材です。 それには、クラウド基盤に関する幅広いテクニカル知識 / スキルに加え、オンプレミスからク ラウドサービスへのマイグレーションの手法やノウハウ、また、海外現地法人や海外ローカル ベンダー等と協業しプロジェクトを完遂できるプロジェクトマネジメントスキルも備えている 必要があります。 そうしたクラウドの総合的スキルを習得するため、グローバルに展開される CompTIA 認定資 格、プログラムが最適であると判断し、導入しました。 CompTIA 認定資格プログラムは、2013 年度より導入しており、2014 年度も数多くの取得者 を輩出しています。2015 年度以降もさらに拡大していく方針です。クラウド人材の育成、若手 社員の早期戦力化を実現する上でも有効と捉えています。」 ソリューションサービス部 第一プロジェクトマネジメント部門 担当部長 井村 宏之 様
ますます需要が高まるセキュリティ人材の育成に CompTIA 認定資格を活用 ネットワークセキュリティやリスク管理の基本原則を網羅する CompTIA Security+ をベースに、確かな人材育成を目指す
Business Case Study
取得対象者 部門のセキュリティ担当者 システムのセキュリティ管理者
取り組みの背景 ICT の進歩に伴い、近年増加しているセキュリティリスク。国内大手の通信キャリアであるソフトバン ク株式会社においては、ネットワークインフラを担う企業として、リスクに確実に対応できるセキュリ ティ人材の育成に取り組んでいる。 しかし、セキュリティ全般に対する知識不足が課題に・・・ • 各部門から選出しているセキュリティ担当者は、セキュリティ全般の知識を有しておらず、部門の セキュリティを仕切る立場として不安がある • 各システムのセキュリティ管理者においても 特定の分野には詳しいものの総合的なセキュリティ 知識は不足していた CompTIA Security+ 認定資格を導入 CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関 連するスキルや、セキュリティインシデントの発生を予防するため定期的に実施され るべき運用手順等のスキルを評価する認定資格。
ソフトバンク株式会社 東京都港区東新橋 1-9-1 http://www.softbank.jp/
「セキュリティ全般の知識を身に つけるため、Security+ が 有効と考えます。」 テクノロジーユニット ネットワーク統括 サービスプラットフォーム開発本部 本部長 折原 大樹 様
CompTIA Security+(試験番号:SY0-501) 第 1 章 脅威、攻撃、脆弱性
21% 22% 15% 16% 14% 12%
第 2 章 テクノロジーとツール 第 3 章 アーキテクチャと設計
第 4 章 アイデンティティとアクセス管理
第 5 章 リスク管理 第 6 章 暗号化と PKI
取り組み 2020 年までに有取得者 400 名を目標とした育成 Security+ は、Level 1 において導入されている Level 1: セキュリティ担当者 … Security+ Level 2: セキュリティ専任者 … CISSP Level 3: セキュリティ専門家 … GIAC Security+ 導入の理由 ■ セキュリティ全般を学べる入門的な資格 ■ ベンダーニュートラル ■ グローバルに通用する資格 *
導入の CompTIA 認定資格 ■ CompTIA Security+
*Security+ 認定資格を有するプロフェッショナルは、世界 147 カ国以上で活躍している。 また、米国国防総省では、Security+ 認定資格を評価し指令書 8570.01-M および 8140 により、 取得必須を規定している。
「ネットワークインフラを担う企業として、弊社もセキュリティ人材の育成に力を入れています。 しかし、セキュリティ分野は幅広いためどこから知識を身につけるべきか判断しづらいという 課題がありました。 セキュリティ全般をカバーできる内容である CompTIA Security+ は、取っ掛かりとして最適 であり、まずは基礎知識を習得させたいという目的と合致しました。 」 テクノロジーユニット ネットワーク統括 サービスプラットフォーム開発本部 本部長 折原 大樹 様
お客様目線でセキュリティリスクを把握、検討できる人材を 育成し、お互いの信頼関係構築から、事業拡大を目指す お客様の立場を理解し、リスクの把握、分析ができるための人材育成、 フレームワークの必要性から、CompTIA 認定資格を導入
Business Case Study
取得対象者 SE 本部 構築 SE /セキュリティプリセールス SE 法⼈運⽤本部 マネージドセキュリティサービス運⽤ SE
取り組みの背景 ソフトバンクでは、日々巧妙化するサイバー攻撃に対しお客様先のセキュリティ向上を実現するため、 予防・検出・対応等の各段階に合わせたセキュリティサービスを、環境に合わせ提供しています。 モバイル脅威防衛ソリューションの「zIPS」やクラウドセキュリティソリューションの「Dome9」等 の提供を行う上でも、お客様と同じ目線でセキュリティリスクを把握、検討できる人材と、お客様との 信頼関係を築くための支援体制が求められました。 セキュリティプリセールス SE の検討 お客様の立場を理解し、リスクの把握、分析ができるような人材の育成、フレームワークの導入 【求められる能力】 – セキュリティ知識だけでなく、お客様の環境毎に経営課題を踏まえ、情報セキュリティの状況把握 ができること。 – インシデント発生時に現場で何が行われ、何が必要なのか、お客様視点で対応できること。 セキュリティ案件に対するセキュリティプリセールス SE からの支援体制の確立 – 法人営業からの直接の依頼でも、構築 SE からの支援依頼経由でも、セキュリティプリセールス SE が所属するセキュリティソリューション課が一括支援。 – 金融・サービス・流通などインダストリーカットな各部門の構築 SE に対しセキュリティソリュー ション課の担当をアサイン。案件の情報共有の円滑化と、セキュリティ案件支援に向けた能動的な アクションがとれる体制を強化。
ソフトバンク株式会社 東京都港区東新橋 1-9-1 http://www.softbank.jp/
「CompTIA 認定資格の導⼊によ り、ゴールであったお客さま視点 での検討、対応ができています。 お客さまからも多くのことをヒア リングできるようになりました。」 法人事業戦略本部 戦略事業統括部 IoT・セキュリティ事業推進部
CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関 連するスキルや、セキュリティインシデントの発生を予防するため定期的に実施され るべき運用手順など、スキルを評価する認定資格です。
CompTIA CySA+ は、IT セキュリティアナリスト、脆弱性アナリスト、脅威インテ リジェンスアナリストを対象に開発され、脆弱性、脅威、リスクを特定し対策を講じ るといったスキルと知識を評価する中級レベルの認定資格です。
取り組み ■コモンセンスとしての「CompTIA CySA+」
導入の CompTIA 認定資格 ■ CompTIA Security+ ■ CompTIA CySA+
セキュリティプリセールス SE に求められる能力をコモンセンスとして、お客様と接点が多く、社内で の連携が多い、構築 SE、セキュリティプリセールス SE、マネージドセキュリティサービスの運用 SE に対し、「CompTIA CySA+」の取得を推進。 ≪取り組み実施前後での変化≫ お客様視点での検討、対応に効果(新規案件獲得数、提案機会数の増加) – 2018 1 月~ 7 月に比べ、施策実施後の 8 月~ 12 月はセキュリティ案件が 187%増、 注力している商材については 243%増 – 取得者向けアンケートでも、90%がセキュリティの話をする機会が増えたと回答 ■更なるスキルの積み上げ セキュリティプリセールス SE:経営者目線での会話ができるスキルの習得 → CISSP の取得 構築 SE:高度な解析能力を磨く → GIAC の取得 営業、営業支援担当にもセキュリティの啓蒙を行う取り組みを検討中。 「働き方改革が広がりを見せる中、従来型のネットワークセキュリティから、より広範囲なセキュ リティサービスが求められています。それに伴い、個々のサービスだけではなく、ユーザの置 かれている環境に根ざした包括的かつ体系だった提案が必須です。 CompTIA 認定資格を導入した結果、点から線、面への提案ができるようになり、ユーザさまに 喜んでいただけるケースが増えていることを心より嬉しく思います。」 法人事業戦略本部 戦略事業統括部 IoT・セキュリティ事業推進部 部長 北山 正姿
ユーザ企業においても、情報セキュリティを体系的に 学習する機会やサイバーセキュリティ業務に従事する メンバーやアウトソース先のキャリアパスの明示は不可欠 ネットワーク基盤やクラウド環境を取り巻くインシデントに対応できる チームメンバーの育成と CSIRT 業務の必須知識としてグローバル資格を採用
Business Case Study
取得対象者 セキュリティチーム(ASICS-CSIRT) アウトソース先(外部委託先企業)
取り組みの背景
株式会社アシックス 神戸市中央区港島中町 7 丁目 1 番1 www.asics.com
「当社の将来を見据え、情報セキュ リティ人材の育成に必要なグロー バル資格を採用しました。 当社の情報セキュリティ人材の育 成には、グローバルで通用する国 際的な資格体系を有するようなカ リキュラムが必要だと考えまし た。」 IT 統括部 セキュリティリード CompTIA Cybersecurity Analyst (CSA+) SME 谷本 重和 様
セキュリティチームには、CompTIA Security+ を、 アウトソース先には、CompTIA CySA+ を導入 CompTIA CySA+ は、脅威検出ツールを理解し、組織の脆弱性、 脅威およびリスクを特定するために必要となる知識とスキルを 評価します。CompTIA Security+ は、その上位資格に位置付 けられます。
導入の CompTIA 認定資格 ■ CompTIA Security+ ■ CompTIA CySA+
取り組み CompTIA CySA+ で得られたスキル知識は、次の領域で活かされています ASICS-CSIRT における取り組み 1. 事後対応サービス
(1) インシデントハンドリング:重大度 ( 緊急・警告・注意・情報 ) の切り分けとリスクの優先付け (2) インシデントレスポンス:国内チームとの情報交換、関係機関 ( 地元警察 ) との連携・報告・調整 (3) 脆弱性管理:当社サーバ・PC に対する脆弱性診断やハッキング手法を用いたセキュリティ監査 2. 事前対応サービス (1) アナウンスメント:脅威レポートを元にサイバー攻撃時における警告・注意喚起の実施 (2) 注意喚起と警告・通知:OSINT 情報を元に、サイバー攻撃に関する情報を収集し、組織内にて共有 (3) 技術監視 ( モニタリング ):監視対象の通信、不正侵入行為、関連する挙動のモニタリングの実施 3. インシデント管理サービス (1) リスクマネジメント:当社の情報資産に対するリスク分析やアセスメント ( 影響度評価 ) を実施 (2) サイバーセキュリティ意識向上:情報セキュリティに対する意識向上トレーニングの実施 (3) セキュリティ監査 ( アセスメント ):当社サービス対象に対するペネトレーションテストの実施 「CySA+ を取得することで、セキュリティ診断や CSIRT 活動で得られたスキルを客観的に証明 することができ、このような資格が今後の活動において重要になると考え受験しました。また、 CySA+ の受験を通じてこれまでのキャリアで培った知識を整理し、より理解を深めることがで きました。」
株式会社 神戸デジタル・ラボ 飯島氏 サービス推進本部 セキュリティ事業部 セキュリティ運用支援チーム 兼 KDL-SIRT
「これまでセキュリティ分析官としての業務に携わる中で、自身のスキルレベルを計りかねてい たので CySA+ を受験しました。CySA+ を合格するまでの過程では必須知識の整理ができ、試 験の中では実際の業務で発生しうる状況への対応を疑似的に体験できたため、自身のスキルレ ベルを計るだけでなく向上する上でも有益な試験でした。」
株式会社 神戸デジタル・ラボ 梅津氏 サービス推進本部 セキュリティ事業部 セキュリティ運用支援チーム
「常駐型セキュリティマネジメントサービス」を支える 人材の育成に CompTIA Security+/CySA+ を活用 人材育成を視える化し、お客様にセキュリティサービスの クオリティを伝える
Business Case Study
取得対象者 お客様の IT インフラ運用業務を担当しているメンバー
取り組みの背景 「情報セキュリティ分野の人材不足」はグローバルな共通課題
SCSK 株式会社 東京都江東区豊洲 3-2-20 www.scsk.jp/
経済産業省の調査では、情報セキュリティ分野で不足する人材が、2020 年に 19 万人を超えることが 示されています。SCSK 株式会社では、テクノロジーの急速な変化や、それに伴うセキュリティ脅威に 適切に対応できる人材の教育や確保が急務となっていると考えます。 企業におけるセキュリティ人材不足の解決策「常駐型セキュリティマネジメントサービス」を提供 さまざまな脅威が顕在化した現在において、IT システムを安全に運用する為には、セキュリティのスキ ルを持った人材が必須です。同社の「常駐型セキュリティマネジメントサービス」では、SCSK 独自の セキュリティ教育を受けたセキュリティエンジニアと経験豊富なセキュリティアナリストが連携してお 客様のシステムの安全な運用に取り組みます。 ログの取得や情報資産の管理など、現場でしか対応できない業務を常駐したセキュリティエンジニアが 担当し、セキュリティインシデントの分析など、経験やノウハウが求められる部分は経験豊富なセキュ リティアナリストが遠隔でサポートします。 社内でのセキュリティ人材育成の推進 「常駐型セキュリティマネジメントサービス」を支えるための人材育成に、CompTIA 認定資格を活用し ています。 CompTIA Security+/CompTIA CySA+ 認定資格を導入 CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関連 するスキルや、セキュリティインシデントの発生を予防するため、定期的に実施される べき運用手順など、スキルを評価する認定資格です。 取り組み SCSK 株式会社は、セキュリティに特に留意し、セキュリティを保ったシステム運用を支える人材を育 てるために、組織的に取り組んでいます。輩出した人材は、お客様施設に常駐してシステム運用におけ るセキュリティを支える役割を果たすほか、同社のデータセンターにおいて高度なセキュリティを支え る人材としても活躍します。 ■ 人材モデルの定義 • セキュリティ運用を支えるために必要な機能や役割を整理し、人材モデルを作成 人材モデルは、職務の内容や職責に応じ、また、キャリアアップを考慮して、複数のレベルを設定 ■ セキュリティに必要なスキル・知識の整理、シラバスの作成 • IPA の「i コンピテンシ ディクショナリ(iCD)」などを参考に、それぞれの人材モデルに求められ るスキルや知識を整理した知識体系表を作成 • 知識体系表をもとに、レベル毎に学ぶべき事項を整理したシラバスを作成 ■ 教育・研修プログラムの検討と実施 • シラバスに沿って効果的に学習を進めるため、研修プログラムや教材を準備 試行運用と位置づけた初年度は社外の研修コースを積極的に採用。2 年目からは、社外の研修コー スに加えて、自社及び自社のお客様の状況を強く意識した独自の研修コースを開発して採用 • 習得した知識やスキルの状況を測定するための指標として、社内の認定試験に加えて公的資格を採 用基礎的なセキュリティ知識習得の確認に CompTIA Security+ を、セキュリティインシデントの 対処にかかわる知識の確認に CompTIA CySA+ を活用 「システム運用を支える者が知っておくべきセキュリティ技術の範囲はとても広く、これらを効 率的に学ぶことは容易ではありません。また、その学習の状況を正しく把握することも簡単で はありませんでした。CompTIA Security+ の試験範囲は、セキュリティに携わる者が知って おくべき事項の大半をカバーしており、初期の学習者の育成の目的において、とても有益だと 思います。 また、CompTIA の試験は、受験場所と受験時間についての選択肢が広く、受験 者の負担(お客様施設常駐者の場合はお客様企業の負担にも関係)が少ないことも大きな利点 となりました。」 ITマネジメント事業部門 基盤インテグレーション事業本部 セキュリティサービス部 佐藤 直之 様 CompTIA CySA+ は、IT セキュリティアナリスト、脆弱性アナリスト、脅威インテリジェ ンスアナリストを対象に開発され、脆弱性、脅威、リスクを特定し対策を講じるといった スキルと知識を評価する中級レベルの認定資格です。
「セセキュリティ人材不足が叫ば れる中で、従来からあるインフ ラ運用業務だけでなく、インシデ ントハンドリングなど、セキュ リティ関係業務もお客様にご提 供できるよう人材の底上げを検 討し、SCSK 独自の教育プログ ラムを作成しました。CompTIA Security+ は、最低限抑えておく べき知識が網羅されており、最初 に取得すべき必須科目と位置づけ ました。」 ITマネジメント事業部門 基盤インテグレーション事業本部 セキュリティサービス部 佐藤 直之 様
導入の CompTIA 認定資格 ■ CompTIA Security+ ■ CompTIA CySA+
役務領域拡大に向けたセキュリティ / プロマネスキルの 強化に、CompTIA 認定資格を活用 新たな分野のチャレンジや、ステッピングストーンを設定することで 着実なスキルアップを支援。社員モチベーションの継続的向上に
Business Case Study
取得対象者 フィールドサービスビジネス本部 部員
取り組みの背景 カスタマエンジニア(CE) の人材像
株式会社富士通マーケティング 東京都港区港南 2-15-3 品川インターシティC棟 www.fujitsu.com/jp/group/fjm
ハードウェア、ソフトウェア、施設に関連する専門技術を活用し、お客様の設備に合致した設計・開発を 行うことで、インフラ設備の安定稼動をサポート。設計したインフラ環境の品質に責任を持つ。 昨今の CE の役務拡大への対応 セキュリティ / プロジェクトマネジメントスキルの強化 • セキュリティに特化した部隊の形成 → セキュリティ対策スキルの修得、提案 / 運用スキルの向上 • 保守を展開するリーダーの養成 → プロジェクトマネジメントスキルの向上 / 実業務への応用 関連する新たなスキル獲得の支援を行うことで、ビジネスチャンスの拡大を狙う。さらに部員のスキル アップのための強力支援を実施。部員のモチベーション向上につながると同時に、事業目的達成に向け たメッセージとなる。 CompTIA Security+/CompTIA Project+ 認定資格を導入 CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関連 するスキルや、セキュリティインシデントの発生を予防するため定期的に実施される べき運用手順等のスキルを評価する認定資格。
「 CompTIA 認定資格は、 ゴールを目指す上で 欠かせないス テッピングストーンの 一つです。」 FSB 本部 フィールド支援統括部 品質技術部 担当課長 小柴 寿一 様
CompTIA Project+ は、小規模から中規模プロジェクトを遂行する際の知識を体系的 に学習することができ、業界を問わずプロジェクトマネジメントに必要な標準知識と ベストプラクティスに基づく実務能力を評価する認定資格。
取り組み 年間 1 人 1 資格取得の方針に絡めた取り組み 「IT スキルの向上、目にみえる成果」 として、各種資格取得の実施 → 期初に自身の資格取得計画を作成し、上長との面談を経て、KPI として設定。進捗状況も確認。 《セキュリティ推奨スキルパス》 Microsoft MTA → CompTIA Security+ → 情報セキュリティスペシャリスト 《プロジェクトマネジメント推奨スキルパス》 ITIL Foundation → CompTIA Project+ → PMI PMP → プロジェクトマネージャ 【今後について】 トレーニング経緯、取得状況から、部署毎の弱みを把握することで、強化ポイントを明確化。 自身の希望による資格取得から、組織の戦略的な育成手段としての資格取得へシフト。
導入の CompTIA 認定資格 ■ CompTIA Security+ ■ CompTIA Project+
「CompTIA 認定資格は、弊社の人材育成フレームワークレベル別育成において、中級レベルの 資格取得目標となっております。レベル毎に経験・研修・資格を定義し、スキルの見える化を 行うことにより、部員の成長におけるモチベーション向上にも役立っております。 また 以前は A +、Network +の資格取得を推進していたこともあり、CompTIA 資格が各分野 の知識を全般的に網羅している為、資格取得後の実務における展開にも有効となっております。」 フィールドサービスビジネス本部 フィールド支援統括部 品質技術部 担当課長 小柴 寿一 様
お客様に感動を与える安心と信頼のパートナーを目指し 全国に展開する PFU の保守・運用サービス 進化し続ける ICT 業界において、お客様の要望に柔軟に対応できる エンジニア育成に CompTIA 認定資格を活用しています
Business Case Study
カスタマサービス部門の カスタマエンジニア(CE)、インフラ SE、サービス営業、 コールセンター、SOC
取得対象者
取り組みの背景 ■急速に拡大する情報セキュリティ分野への対応 国内において、10 秒に一人の割合で被害に遭っていると言われているサイバー攻撃。 PFU では複雑化する多様なセキュリティ脅威に対し、トレンドやレベルに応じたセキュリティインシ デントに対応できるエンジニアとアナリストの育成が必要。 ■マルチベンダー保守、運用サービスに対する人材育成とスキルパス 業界でいち早く取り組んできたマルチベンダー保守。 お客様へ安心・安全なサービスを継続的に提供するため、ベーススキルを継続的に習得する仕組みと エンジニアのキャリアアップを目的としたスキル体系の明文化。
株式会社 PFU 神奈川県横浜市西区みなとみらい 4-4-5 横浜アイマークプレイス http://www.pfu.fujitsu.com/
CompTIA 認定資格の活用
「 CompTIA 認定資格は各分野の 基礎知識を習得するツールとして 活用するだけでなく、お客様への アピールポイントとしても有効で す。 」 サービス支援統括部 品質管理部 教育センター 所長 山本 和也 様
CompTIA Security+ は、セキュリティ概念、脅威や脆弱性、ツール、対応手順に関連 するスキルや、セキュリティインシデントの発生を予防するため定期的に実施される べき運用手順等のスキルを評価する認定資格。
CompTIA Project+ は、小規模から中規模プロジェクトを遂行する際の知識を体系的 に学習することができ、業界を問わずプロジェクトマネジメントに必要な標準知識と ベストプラクティスに基づく実務能力を評価する認定資格。
取り組み ■セキュリティ分野のスキル標準化 全国で提供するセキュリティオンサイトサービスに対応するエンジニアのベーススキルに Security+ を定義しています。 また、選定したその他研修と組み合わせ、インシデントレベルに応じたアナリストの育成も行ってい ます。 ■新入社員研修の教材に利用 カスタマサービス部門の新入社員全員に ベンダーニュートラルな A+ と Network+ を必須としてい ます。 • 社内講師による講習を実施し、合格に向けた支援制度を設け、取得の推進を図っています。取得 にあたりテキスト、バウチャーが提供され奨励金制度の充実や次に取得目標とする資格を明確化 しモチベーション向上に繋げています。 ■ビジネスに連動した ITSS スキル定義に活用 ITSS に準拠したレベル定義に CompTIA 認定資格を活用しています。 各職種に合った資格目標とレベルを設定、職種毎のスキルパスを明確化し活動計画に連動する個人目 標となる様に推進しています。
導入の CompTIA 認定資格 ■ CompTIA A+ ■ CompTIA Network+ ■ CompTIA Server+ ■ CompTIA Security+ ■ CompTIA Project+
CompTIA Network+ CompTIA A+ 新入社員教育でコンピューターの 基礎知識を身につける
個々の業務別に専門スキルを身につける
CompTIA Server+ CompTIA Security+ CompTIA Project+
• 全国のカスタマサービス部門の取得者数(2018 年 9 月現在) A+: 344 名 Network+: 294 名 Server+: 169 名 Security+: 384 名 Project+: 146 名
「基礎スキルの習得、スキルレベルの見える化、キャリアアップツールとして CompTIA 認定資 格取得は必要不可欠となっています。基礎スキルを身に付け、お客様へ安心・安全なサービス を提供する為に最適な認定資格であると考えています。 カスタマ/システムエンジニアだけでなく、カスタマサービス部門のソリューションを提供す る営業やサポート/ SOC 要員へのスキルアップとしても CompTIA 認定資格導入を推進してい ます。」
サービス支援統括部 品質管理部 教育センター所長 山本 和也 様
CompTIA 日本支局 www.comptia.jp facebook.com/CompTIAJP twitter.com/CompTIA_JP 〒 101-0061 東京都千代田区神田三崎町 3-4-9 水道橋 MS ビル 7F TEL:03-5226-5345/FAX:03-5226-0970/email:info_jp@comptia.org
© 2016 CompTIA Properties, LLC, used under license by CompTIA Certifications, LLC. All rights reserved. 無断での引用、転載を禁じます。すべての認定プログラムと、それらのプログラムに関連する教育は、CompTIA Certifications, LLC により独占的に運営されています。 CompTIA は、米国内およびその他の国や地域における国際的な CompTIA Properties, LLC の登録商標です。ここに記載されているその他のブランド名および企業 名は、CompTIA Properties, LLC または各所有者の商標またはサービスマークである場合があります。CompTIA Properties, LLC の書面による承諾なしに、複製、 配布することを禁じます。201903 Ver5.0_CompTIA_Security_brochure
Page 1 Page 2 Page 3 Page 4 Page 5 Page 6 Page 7 Page 8 Page 9 Page 10 Page 11 Page 12 Page 13 Page 14 Page 15 Page 16Powered by FlippingBook