以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。
日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。
ところが、世界には370を超えるセキュリティ関連資格が存在する。
セキュリティ関連資格をグローバルな視点で見ると、情報処理安全確保支援士は日本国内限定のローカル資格となり、この表には入ってこない。
表の縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。
横軸は資格のカテゴリを分類していて、左から下記のようになっている
・Communication and Network Security
・IAM
・Security Archtecture and Engineering
-Cloud/SysOps
-*nix
-ICS/IoT
・Asset Security
・Security and Risk Management
-GRC
・Security Assesment and Testing
・Software Security
・Security Operations
-Forensics
-Incident Handling
-Penetration Testing
-Exploitation
さすがに海外はこういった整理や分担の考え方が進んでいる。
ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。
セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。
事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。
Step1:基礎知識(業務知識/事業会社のお作法)の習得
-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。
-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する
Step2:専門スキルの習得
-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。
-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する
Step3:応用スキルの習得
-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。
-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か