今すぐ取得すべき主なサイバーセキュリティ認定資格

サイバーセキュリティ関連ビジネスの収益は増加の一途をたどっています。サイバー攻撃の防止や対処には信頼できる人材の採用が欠かせないと考える企業が増えており、セキュリティ関連の仕事が数多く存在するのはそのためです。しかし、その仕事に適した人材を見つけて採用するのは、必ずしも簡単ではありません。そこで期待を寄せられているのが、信頼できる団体の認定資格を持つプロフェッショナルです。

このような認定資格を取得すれば、仕事で信頼を得られるだけでなく、サイバー分野でのキャリアアップを加速し、常に知識を吸収して時代の変化に追いつこうとする姿勢が身に付きます。したがって、YouTubeのビデオや無料の学習コースも悪くありませんが、サイバーセキュリティ担当者として信用を高め、知識を深めることが重要です。

この記事では、さまざまな資格の中でも取得すべきサイバーセキュリティ認定資格を厳選してご紹介します。また、目指す資格を選びやすくするために、それぞれの資格のキャリアレベル、関連性、費用を評価しています。

サイバーセキュリティの認定資格を取得する価値とは？

認定資格を取得する最大のメリットは、収入アップの可能性が高まることと、仕事で信頼を得られることです。しかし、この記事で取り上げた認定資格のほとんどは、さらに大きなメリットをもたらします。

認定資格の運営団体は認定資格を維持する条件として、トレーニングの継続的な受講や他のエキスパートとの交流を強く求めています。こうして、サイバーセキュリティのトレンドを常に把握することは、スキル向上に役立ちます。つまり、自らの能力を高めようと常に努力する姿勢が身に付くことが、資格の取得を検討する大きな理由のひとつです。

(セキュリティについて詳しく学びたい方は、サイバーセキュリティの脅威トップ50、PEAK脅威ハンティングフレームワーク、サイバーセキュリティの脅威を最高レベルで検出するSplunkとMITRE ATT&CKなどのE-Bookをご確認ください)

企業のニーズにベストマッチするサイバーセキュリティ認定資格

以下は、多くのサイバーセキュリティ関連の職務に必須の認定資格で、サイバー分野で非常に信頼されている団体によって運営されています。

CompTIA Security+ 

CompTIA Security+は人気の高いお勧めの認定資格ですが、それにはもっともな理由があります。

• 米国国防総省(DoD)指令8570に準拠した初級者向けの認定コースです。
• ITへの関心が高い人々が、サイバーセキュリティ分野でエントリーレベルの仕事を得るのに適切な知識や実践的なスキルを認定します。

コースを修了すると、サイバー攻撃、アーキテクチャ設計、運用、インシデント管理などの知識があることを証明できます。

米国では、政府および国防総省の職に就く際に、この認定資格が必要になります。初級者にとって簡単な内容であるため、情報セキュリティ担当者の実務経験は不要ですが、CompTIA Network+に関する知識があれば、試験に合格できる可能性が高まります。この認定資格は主に、IT監査人、ジュニアペネトレーションテスター、セキュリティ管理者、DevOps担当者などの職務に就いている人が所有しています。

この認定資格の有効期限は3年ですが、CompTIAの継続教育プログラムを利用することで延長できます。

• 要件：CompTIA Network+に関する知識を身に付け、試験用のCompTIAトレーニングを修了しておくことをお勧めします。
• 費用：認定試験の受験料は392ドルです。
• 所要時間：受験者は90分以内に、約90問の多肢選択式問題に回答する必要があります。認定資格を得るために必要な最低合格ラインは750点です。

Google Cybersecurity Certificate

グーグル社は最近、教育団体のCourseraを通じて、独自のサイバーセキュリティ認定資格プログラムの提供を開始しました。この基本プログラムは、サイバーセキュリティに関心のあるすべての人を対象に作られており、受験にあたって予備知識や経験は求められません。

プログラムの各コースを受講すると、サイバーセキュリティ関連の仕事に就くための優れた基礎知識を習得できます。さらに、プログラムの修了者は、CompTIA Security+試験やその他のトレーニングを割引価格で受けられます。Google Cybersecurity Certificateを修了し、CompTIA Security+試験に合格すれば、2つの認定資格を取得し、セキュリティプログラミング、情報とイベントの管理、侵入検知システムなどに関する専門知識があることを証明できます。

この認定資格は、サイバーセキュリティのエキスパートを目指して最初に取得するのに最適です(このプログラムの開発にSplunkが協力したため、多少の先入観はあるかもしれません)。

• 要件：サイバーセキュリティの分野でキャリアを築くための第一歩を踏み出すための資格であるため、学位や実務経験は求められません。
• 費用：Courseraは無料のトライアル期間を提供していますが、その後は50ドルの月額費用がかかります。また、自己学習式のコースであるため、認定取得までにかかる総費用は、すべてのコースを修了するまでにかかった期間によって異なります。
• 所要時間：グーグル社は、このプログラムを修了するまでの期間を、週7時間の学習で半年と想定しています。これより速いペースで学習すれば、1～2カ月で認定資格を手にできる可能性もあります。

Certified Information Systems Security Personnel (CISSP)

CISSPは評価が高く、この記事のリストの中で難易度の高い認定資格のひとつです。対象は、技術スキルの向上を目指すセキュリティアナリストをはじめとしたエキスパートです。CISSPの受講者は、アクセス制御システム、物理的セキュリティ、事業継続計画とディザスタリカバリー計画、通信とネットワークのセキュリティ、セキュリティアーキテクチャアプリケーションとシステム開発、暗号化、法律、調査、倫理など、複雑なテーマを学びます。

認定団体は、受験を考えているエキスパートに対し、合格の可能性を高めるために、受験前にトレーニングコースを受講するよう勧めています。

CISSPは、ISC認定資格の一部であり、米国国防総省(DoD)指令8570.1の要件を満たしています。

• 要件：この認定資格を得るには、少なくとも2つの対象分野で、セキュリティアナリストとして5年以上の実務経験が求められます。この条件を満たしていれば、認定試験に申し込み、合格に向けて学習を進めることができます。その後、実務経験に関する推薦状をISC会員から取得する必要があります。
• 費用：トレーニングコースの料金は受講場所によって異なりますが、300～3,200ドルです。また、希望する学習形式によっても価格が変わります。認定試験の受験料は749ドルです。さらに、年間199ドルの認証維持費に加え、その後3年間に毎年40単位のCPEを取得する必要があります。ただし、割引特典も用意されています。
• 所要時間：6時間の試験で、上述の科目に関する250の設問に答える必要があります。認定資格を得るために必要な最低合格ラインは700点です。

Certified Information Security Manager (CISM)

Information Systems Audit and Control Association (ISACA)が運営するCISM認定資格は、サイバーセキュリティの分野で管理職への昇進を目指す情報セキュリティエキスパートを対象としています。

3年ごとにコースが更新されるほか、認定を維持するために常に知識の向上を求められるなど、実用性の高い認定資格です。そのため、この認定資格を取得するメリットが最も大きいのは、セキュリティ製品マネージャー、情報セキュリティマネージャー、システムアナリストとなります。この資格で問われる領域は、以下のとおりです。

• 情報セキュリティインシデント管理
• 情報セキュリティプログラムの開発と管理
• 情報リスク管理
• 情報セキュリティガバナンス

トレーニングは、オンライン教室かオンラインの自己学習式で受講できます。

• 要件：情報セキュリティ分野で5年の経験があり、そのうち3年以上は情報セキュリティマネージャーとしての実務経験が求められます。この条件を満たしていれば、試験を受けることができ、合格した場合は5日以内に認定資格を申請できます。その際には、ISACA認定エキスパートが認定プロセスをサポートします。
• 費用：認定試験の受験料は、ISACA会員が575ドル、非会員が760ドルです。
• 所要時間：試験時間は4時間で、150問の多肢選択問題が出題されます。得点範囲は200～800点で、合格ラインは450点です。この認定資格は3年ごとに更新でき、年間20単位のContinuing Professional Education (CPE)を取得する必要があります。

Certified Ethical Hacker (CEH)

サイバー詐欺が増加する中、倫理的ハッキングは、サイバーセキュリティのエキスパートが組織に対して自らの価値を最も手早く証明できる方法のひとつです。また、企業はセキュリティシステムを強化し、攻撃を未然に防ぐ必要に迫られていますが、そこでも倫理的ハッキングが役に立ちます。

EC-Council社は、攻撃者の視点でサイバーセキュリティ対策に取り組むサイバーエキスパートのために、この世界的に認められた認定資格を提供しています。受講者は、スキル開発トレーニングの一環として、他のハッカーと競争することもあります。また、さまざまなオペレーティングシステムで倫理的ハッキングを行う際の5つのフェーズについて学び、知識を深めることができます。

コースの形式は、対面、オンライン、ハイブリッドのいずれかを選択できます。受講者は、自分が希望する学習手順に従って、コースをカスタマイズできます。ただし、このエントリーレベルの認定資格に考えられているほどの価値はない、と話すセキュリティエキスパートもいます。

• 要件：エントリーレベルの受講者が対象ですが、ITセキュリティの分野で少なくとも2年の経験が求められます。その経験がない場合は、同団体が提供している無料のサイバーセキュリティエッセンシャルシリーズを受講するという手もあります。
• 費用：CEHの受験料は1,119ドルです。
• 所要時間：試験時間は4時間で、認定資格を取得するには、60～80%の正解率が必要です。

(参考：サイバーセキュリティリーダーが学ぶべき6つのこと)

Cisco Certified Network Associate (CCNA)

CCNA認定資格は、サイバー分野への関心が高い人々にITセキュリティの分野に参入する機会を提供します。この認定資格によって、ネットワーク、セキュリティの基礎、自動化などの知識があることを証明できます。

さらにシスコは、活気ある学習コミュニティを提供して、トレーニング期間中の受験者をサポートしています。この認定資格を取得した人は、ヘルプデスク技術者、ネットワーク管理者、ネットワークエンジニアなどの仕事に移るチャンスが得られます。

• 要件：実務経験に関する正式な規定はありませんが、シスコのネットワークに精通しておくことが推奨されます。また、合格の可能性を高めるために、シスコが提供しているさまざまな形式の有料トレーニングの受講を検討してください。
• 費用：CCNA 200-301と呼ばれる認定試験の受験料は300ドルです。
• 所要時間：試験時間は90分で、60の設問に回答する必要があります。認定資格を得るために必要な合格ラインは800点です。他の認定資格と同じく、有効期限は3年です。

Certificate of Cloud Security Knowledge (CCSK)

The Cloud Security AllianceはCCSKを「クラウドセキュリティの専門知識の基準」とうたっており、この資格は現状をよく物語っていると言えます。場当たり的にクラウドへの移行を進めるその他多くの組織と同じ過ちを犯さないよう、企業は社内の人材にクラウドの専門知識があるかどうかを確かめたいと考えているからです。2024年7月からは、CCSK v5が提供されています。

この試験には14の分野があります。CCSKを取得すると、以下を実現できます。

• クラウドエキスパートのスキルギャップが大きくなる中で、仕事を得る機会を拡大できます。
• クラウドに特化したあらゆるセキュリティ管理手法を利用できる能力をアピールできます。
• セキュリティのベストプラクティスの基礎を学べます。これは、幅広い職務を担うセキュリティエキスパートにとって重要なノウハウです。

CCSKは、CCAK、CCSP、CISSP、Certified Information Systems Auditor (CISA)など、他の認定資格を補完するのにうってつけの資格でもあります。

• 費用：395ドルで2回の受験ができます。受験可能期間は、どちらも購入から2年間です(米国の退役軍人の方は、無料で受験できます)。
• 所要時間：受験者は90分間で60問の多肢選択問題に回答します。その際、参考書などの持ち込みが許可されています。

Offensive Security Certified Professional (OSCP)

この認定資格は、セキュリティ認定資格ロードマップでいうところの「レッドチーム向け」に該当します。したがって、ご想像のとおり、情報セキュリティのキャリアをすでに確立している方が対象となります。

Offensive Security社は、資格取得者がサイバー攻撃やその他のセキュリティ侵害の検出、阻止、対応といった業務に精通していることを証明するものとして、この資格を提供しています。この認定資格がカバーしている主なスキルは、以下のとおりです。

• 侵入テストの実施
• マルウェア分析
• コンピューターフォレンジック

OSCPはCEHより上位の認定資格です。OSCPの取得者は、攻撃に対処し、自力で解決策を立案できる能力が高く評価されます(一方、CEHは予防策に重点が置かれています)。また、OSCPは広い範囲をカバーしているため、資格取得者はセキュリティ分野のスペシャリストのポジションを獲得できます。

• 要件：他の上級者向けコースで期待されている要件と異なり、正式なポジションでの実務経験の長さよりもスキルが重視されます。この試験で優れた成績を収めるには、IPネットワークとLinux管理の知識が必要です。
• 費用：この認定資格は、PEN 200 (Penetration with Linuxのトレーニングと試験)を完了することで取得できます。価格は799ドルからで、必要な学習教材やラボの利用状況によっては、最大で2,499ドルかかる可能性があります。ただし、他の認定資格と異なり、有効期限や更新費用はありません。
• 所要時間：この試験は非常に時間がかかります。試験は実技が24時間で、その後24時間以内に課題レポートを提出する必要があります。認定資格を得るために必要な合格ラインは、100点満点中70点です。

(関連ホワイトペーパー：サービス化するサイバー攻撃、受け身から最先端のセキュリティ対策へ)

GIAC Penetration Tester (GPEN)

名前が示すように、この認定資格は専門的な侵入テストを実施できる能力を証明するものです。資格取得者は、高度なパスワード攻撃、権限昇格、エクスプロイトに対応し、侵入テストを計画し、脆弱性スキャンを実行できる能力が証明されます。

GPENは、セキュリティ監査担当者、倫理的ハッカー、セキュリティ担当者、フォレンジック専門家に最適な認定資格です。

• 要件：上位の認定資格であるため、受験するには少なくとも2年間の実務経験が求められます。
• 費用：この認定資格の受験料は、受験が義務付けられている2回の模擬試験と合わせて、749ドルです。
• 所要時間：試験時間は3時間です。出題数は82問、合格ラインは75%となっています。

CompTIA Cybersecurity Analyst certification (CySA+)

これまで紹介した他の認定資格と異なり、この認定資格はサイバーセキュリティのデータ分析に焦点を当てています。受験者は、さまざまなネットワークソースのデータを追跡し、分析する能力が問われます。また、インテリジェンスを収集して実装したり、場合によってはデータベースへの脅威を検出したりするといった方法で攻撃に対抗できる能力が証明されます。

この認定資格の対象分野は、インシデント対応、脅威と脆弱性の管理、ソフトウェアとシステムのセキュリティ、コンプライアンス、評価など、多岐にわたります。このCySA+の取得が推奨されるのは、セキュリティエンジニアやセキュリティアナリストです。取得すれば、セキュリティ対策を中心とした業務で実力を発揮できます。

• 要件：初級者レベルの認定資格ではなく、情報セキュリティ分野で4年間の実務経験が求められます。また、CompTIAのSecurity+とNetwork+の知識も役立ちます。
• 費用：試験の費用は381ドルですが、学習教材やその他のオプションを使用すると、最大で949ドルかかる可能性があります。
• 所要時間：この認定資格の試験時間は165分で、多肢選択問題が85問出題されます。合格ラインは750点です。

CompTIA Advanced Security Practitioner (CASP+)

この上級レベルの認定資格では、エンタープライズレベルでセキュリティエンジニアリングとアーキテクチャを実装できる能力が問われます。

言い換えれば、受験者はエンタープライズセキュリティシステムの仕組み(実装、監視、防御、分析のプロセスなど)に関する知識を証明することが求められます。そのため、シニアセキュリティエンジニア、アナリスト、SOCマネージャー、アーキテクトが対象となります。

• 要件：上級者向けの認定資格であるため、受験者は少なくとも5年の実務経験を求められるほか、Security+とNetwork+に加え、PenTest+の知識を持っている必要があります。
• 費用：受験料は499ドルです。ただし、学習プランの作成や資格の更新などのオプションが付いたさまざまな料金プランがあるため、費用が大幅に上がる可能性があります。
• 所要時間：CompTIAを取得するための試験時間は165分で、出題数は90問です。

GIAC Continuous Monitoring Certification (GMON)

• 要件：セキュリティアーキテクト、セキュリティエンジニア、セキュリティマネージャー、SOC関連の業務など、さまざまな役割である程度の経験がある人が対象です。
  
• 費用：トレーニング形式(対面またはオンライン)やトレーナーの利用の有無にもよりますが、受験にかかる費用は数千ドルに及ぶ可能性があります。
  
• 所要時間：試験時間は3時間で、試験監督付きの環境で行われます。合格に必要な最低ラインは74%です。問題はランダムに出題され、受験者は82～115問の設問に回答します。
  

(関連記事：監視からの進化：ビジネスに不可欠なオブザーバビリティとは)

Certified in Risk and Information Systems Control^® (CRISC^®)

リスク管理の専門知識を証明(または獲得)する必要がある場合は、CRISC認定資格が最適です。この資格では、アジャイル手法に基づくプロアクティブなアプローチを習得しているかどうかを以下の観点で評価します。

• 会社や組織のビジネスレジリエンスを強化する
• 関係者に目に見える価値を提供する
• 企業のあらゆる領域でリスク管理を最適化する

この認定資格は、企業のITガバナンス、ITリスク評価、リスク対応と報告、ITとセキュリティという4つの領域に焦点を当てています。

この認定資格を運営しているISACAによると、資格取得者の52%が業務の改善を実現しました。そのため、仕事の効率だけでなく収入もアップする可能性があります。実際、CRISCは世界で高収入が得られる上位5つの認定資格のひとつとされています。

• 要件：まず、認定試験を受けます。次に、実務経験の要件を証明し、職業倫理規定と継続専門教育方針の両方を順守することで、認定資格を得ることができます。
• 費用：認定試験の受験料は、ISACA会員が575ドル、非会員が760ドルです。
• 所要時間：試験に合格してから5年以内に、CRISC認定資格を申請する必要があります。

(関連記事：リスク管理フレームワークとリスク管理のためのISO 31000 (英語))

まとめ：初級者および上級者向けセキュリティ認定資格

一目置かれるサイバーセキュリティエキスパートになるには努力が必要です。しかし、その努力は長期的に見れば報われます。初級者の方は、CompTIAのSecurity+やNetwork+などの資格取得から始めることをお勧めします。学習を進めるにつれて、さらに多くの課題や認定資格に取り組むための基礎を築くことができます。

上級レベルのエキスパートの方が目指すべきはCISSPですが、この認定資格を獲得するには相当な努力が必要です。OSCPは、攻撃者視点でのセキュリティ対策に携わる人々から高い評価を得ているため、面接を受ける際にも役立つでしょう。

最後に、多くの団体が学習クラスの割引サービスや学習教材を提供し、認定資格の確実な取得を支援しています。まずはこれらの団体のサイトをチェックしてみてください。

その他の認定資格に関心がある方は、クラウドの認定資格、データサイエンスとデータ分析の認定資格(英語)、DevOpsの認定資格(英語)をぜひご覧ください。

このブログはこちらの英語ブログの翻訳です。