2021/05/30

セキュリティ関連資格チャート表(vol2)


 以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。

pauljerimy.com

日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。

ところが、世界には370を超えるセキュリティ関連資格が存在する。

この中には情報処理安全確保支援士等は無いだろうから、こういったローカル資格を加えると400は超えるだろう。

この表、恐らく縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。

横軸は資格のカテゴリを分類していて、左から下記のようになっている

・Communication and Network Security

・IAM

・Security Archtecture and Engineering

 -Cloud/SysOps

 -*nix

 -ICS/IoT

・Asset Security

・Security and Risk Management

 -GRC

・Security Assesment and Testing

・Software Security

・Security Operations

 -Forensics

 -Incident Handling

 -Penetration Testing

 -Exploitation

さすがに海外はこういった整理や分担の考え方が進んでいる。

ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。

セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。

事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。

Step1:基礎知識(業務知識/事業会社のお作法)の習得

-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。

-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する 

Step2:専門スキルの習得

-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。 

-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する 

Step3:応用スキルの習得

-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。

-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か