情報セキュリティに関する業務に従事される方は、資格をとる方がキャリアアップや転職に有利になると同時に、業務の信頼性を資格で証明することができます。
この記事では多くの資格のうち、情報セキュリティ関連業務に従事する方におすすめの資格をまとめました。情報セキュリティ専門資格だけにとどまらず、一般のIT資格も含め、特に業務に付加価値をつけると考えられる資格を集めています。
国際的なサイバーテロが注目される中、有益と考えられる国際資格についてもご紹介していますので、ぜひ取得の指針として、参考にしてみてください。
情報セキュリティ系の資格
情報セキュリティ系の資格では、日本のIPA(独立行政法人情報処理推進機構)の主宰する試験は信頼性の高い国家試験であり、また国際試験では、評価の高い国際団体の試験が信頼性が高いと考えられます。
1. ITパスポート
社会人として必要なIT知識・技術・管理および経営に関する知識を持っていることの証明としてITパスポートは入門編の資格にあたります。
学習の基礎をしっかり身に着けられるので、他の資格にチャレンジする前提としておすすめの資格です。
IPA主催の試験であり、期待される技術水準の中にも次のような記述があり、情報セキュリティの職業人の入門として適した試験レベルです。「利用する情報機器及びシステムを把握するために、コンピュータシステム、データベース、ネットワーク、情報セキュリティに関する知識をもち、オフィスツールを活用できる。」
ITに関する基礎知識が欲しい方、また、レベルのチェックが必要な方のためにおすすめの目標といえるでしょう。
2. 情報セキュリティマネジメント試験
こちらもIPA主催の試験ですが、情報セキュリティマネジメント試験は、セキュリティリーダー・管理者またはその候補者として、iパスの受験者よりも職務経験の長い方を対象にしている試験です。
試験分野は、ストラテジ・マネジメント・テクノロジの3つの分野が問われることはiパスと変わりません。ただし、より情報セキュリティや情報セキュリティマネジメントの部分の出題比重が高く、深い知識を問われます。
独力で情報セキュリティマネジメントシステムに対応し職務遂行することや、インシデント対応を行うことが技術水準として期待されています。
ISMSとのかかわりが深く、出題対象分野・必要とされる知識ないし用語もISMSを意識したものですので、ISMS関連の業務に従事している方が勉強すると、組織内の体制構築にも効果が出ることが期待されます。
3. 基本情報技術者試験
システムの設計・開発を行うITエンジニアとしての基本的な知識を問われるのがこの試験です。
問われる内容の分野はストラテジ・マネジメント・テクノロジですが、特にテクノロジに関しては専門性の高い試験です。
セキュリティエンジニアとしてのキャリアを構築する方にも、この試験は基礎編の試験として有益です。一通りの設計開発業務や、システム管理業務について独力でこなせる事の証明として使われます。
4. 応用情報技術者試験
基本情報技術者試験をレベルアップした試験です。セキュリティエンジニアの中核的な人材、特にインフラまで適切に理解して運用できるレベルの能力証明になる試験と考えられています。
今後、リーダーとなることを目指す方が受験しておくと有益と考えられます。
なお、基礎および応用情報技術者試験はIPA主催です。
5. 情報処理安全確保支援士試験
情報処理安全確保支援士試験は、IPAの主催する試験の中で唯一の士業の試験です。
企業における経営課題である情報セキュリティに関しては経営者の右腕として活躍できる人材であることを証明する試験で、経営戦略・システム戦略・プロジェクトマネジメントなど、マネジメントとストラテジに関する知識も高度なものが要求されます。
テクノロジに関しても範囲が極めて広く出題され、ハードウェア・ソフトウェア、双方に関してセキュリティツールの運用やネットワーク設計まで幅広く知識を付けておく必要があります。
最新のサイバーセキュリティ情勢と対策などが問われることは当然ですが、記述式の試験で解決策まで提示するような問題が出題されるのも特徴的です。
IPAの情報技術者試験の中では最もレベルの高い「レベル4」の試験であり、合格すると、「情報処理安全確保支援士」と呼ばれる情報系の士業として登録することができます。
6.公認情報セキュリティマネージャー
国際的な団体であるISACA(情報システムコントロール協会)が主催する公認情報セキュリティマネージャー試験は、セキュリティリスクマネジメントを行う専門家資格認定のための試験です。
国際資格で、実務経験を要求する試験であり、マネジメント・設計・監督を行う地位にある、次のような地位にある人・候補者を主な受験対象者としています。
- セキュリティマネージャー(Security managers)
- セキュリティ担当役員(Security directors)
- セキュリティ担当役職者(Security officers)
- セキュリティコンサルタント(Security consultants)
資格の認定には、次のような実務経験が必要です。
- 情報セキュリティに関する5年以上の経験を有すること。
- そのうち、3年以上のセキュリティマネージメント(セキュリティ管理者)の経験を有すること。
- 合格後のCISM申請時において過去10年以内の経験であること。
試験は情報セキュリティガバナンス・情報リスクの管理とコンプライアンス・情報セキュリティプログラムの開発と管理・情報セキュリティのインシデントの管理の4分野からの出題、コンピュータ多肢選択方式で、日本語も選ぶことができます。
難易度は情報セキュリティマネジメント試験を少し難しくしたくらいのレベルですので、実務経験があれば受験がおすすめです。
7. CRISC (Certified in Risk and Information Systems Control)
同じくISACA主催の試験で、ITリスクマネジメントの専門家として、経営戦略上のリスクへの対応を担当し、経営者のパートナーとして活躍する人材の資格認定試験です。
エンジニア・非エンジニアの双方を対象としており、以下のような職務の担当者の受験を期待しているとしています。
- ITプロフェッショナル(情報システム分析・開発・管理)
- リスクマネジメント
- 内部統制
- ビジネス分析
- コンプライアンス
資格の認定には、実務経験が必要であることは、CISMの場合と同様で、10年内に3年の関連業務の経験が必要です。CISMと異なり、日本語の試験の選択ができませんが、ITリスクマネジメントの分野は特に外資系などでは英語での業務も多いので、是非挑戦してみましょう。
8. CISSP認定試験
国際的なセキュリティ職業人の団体(ISC)²が主催するセキュリティプロフェッショナルとしては最高峰の試験の一つです。2004年から規格化され、アメリカの食品業界やデロイトでも必須資格とされるなど、信頼性の点に解いては申し分のない試験です。
出題内容が以下のとおりで、どちらかというとエンジニアの出身の方の方が出題の割合からすると有利な試験と考えられています。
- セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
- セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
- アイデンティティとアクセスの管理(アクセス制御とID管理)
- 資産のセキュリティ(資産の保護)
- セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
- 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
- ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
- セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
試験はコンピュータの多肢選択式の試験で、1000点満点中700点が合格ラインです。また、資格の認定は実務経験を問われますが、準会員として実務経験の代わりになる活動を行い補充することができます。
まとめ
情報セキュリティに関する業務は、最新の情報に注目しながら業務を行うこと、多くの情報を集めてながら分析して行うことも多く、また幅広い業務知識が必要な仕事です。この業務の特性から、資格試験を使って体系的に勉強をしておくことは非常に有益ですし、業務の信頼性も高くなります。 業務経験を有する方はIPA の上級に位置する試験や、国際資格の試験を利用したキャリアアップを考えてみることもおすすめします。
