IT分野には様々な種類の資格が存在しており、中でも情報セキュリティ分野はプログラミング分野などと比較すると参考情報も少なく、セキュリティエンジニアやホワイトハッカーを目指す方は、「どの資格取得を狙うことが今の自分にメリットがあるのか」を判断することは難しいのではないでしょうか?
この記事では、そんなセキュリティエンジニア・ホワイトハッカー向けの資格について、どのような資格か、試験方式や試験範囲、取得をオススメする人などをご紹介していきます。
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年8月生募集中)
セキュリティエンジニアが資格を取得することのメリット
まずは、セキュリティエンジニアやホワイトハッカーが資格を取得するメリットについて見ていきましょう。
- 知識やスキルを一から体系的に学ぶことができる
- 専門的な知識やスキルの証明ができる
- 自分の市場価値を上げる
知識やスキルを一から体系的に学ぶことができる
資格取得の過程で、その分野の専門知識やスキルを一から体系的に学習することができます。また、学習のきっかけ作りやモチベーションを保つのにも効果的です。
資格の取得という一つのゴールがあると学習にも身が入りますね!
専門的な知識やスキルの証明ができる
資格を取得することによって、一定レベルの知識やスキルを身につけていることを証明することができます。特に実務経験のない情報セキュリティ分野の未経験者にとっては、就職・転職活動の時に自分の知識やスキルを証明する材料がないので、なおさら資格取得が重要であると言えるでしょう。
例えば、セキュリティエンジニアの採用を考える際にも、同じ未経験者でも資格がある方が優遇されることは自明の理です。仮にエンジニアとしての評価が難しい資格でも、持っているのといないのとでは与える印象に大きな違いがあります。
また、資格がなければ受けることが出来ない仕事なども存在するため、時間のある時に取得するようにしたいですね。
採用担当者も応募者の技術レベルがどれくらいか判断する材料が欲しいのは当たり前ですよね!
自分の市場価値を上げる
エンジニアとしての市場価値を考える上で、一番重要なことは実務経験や実績であることは間違いありませんが、資格が重要であることも忘れてはいけません。
未経験者にとっての資格が重要なことは言うまでもありませんが、キャリアアップを考えた転職活動を行っているエンジニアにとっても重要で、資格がないために採用面接にたどり着くことすらできない場合もあります。
資格は意味がないと言い切ってしまうインフルエンサーもいますが、実態とは程遠いので流されないようにしましょう。(自分の目的にあった資格でないと意味がないことは事実です)
セキュリティエンジニアにオススメの資格9選
セキュリティエンジニアやホワイトハッカーにオススメしたい資格9選をご紹介していきます。
- 基本情報技術者試験
- 応用情報技術者試験
- 情報セキュリティマネジメント試験
- 情報処理安全確保支援士
- CompTIA Security+
- CompTIA PenTest+
- CompTIA CySA+
- CompTIA CASP+
- CISSP
- CEH(認定ホワイトハッカー)
基本情報技術者試験
「基本情報技術者試験」は、ITエンジニアの登竜門として非常に有名な国家資格です。
IT分野全般の基礎知識を問う資格であるため、情報セキュリティ分野に特化した資格というわけではありませんが、セキュリティエンジニアやホワイトハッカーを目指す人が、ベースになる知識をつけるのには最適な資格試験になっています。
この試験は、科目Aと科目Bに分かれていて、科目Aと科目Bの両方で1000点満点中の600点以上を得点することで合格となります。
試験範囲は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野(科目A) | 試験範囲詳細(科目A) |
|---|---|
| テクノロジ系 | ・基礎理論 ・アルゴリズムとプログラミング ・コンピュータ構成要素 ・システム構成要素 ・ソフトウェア ・ハードウェア ・ヒューマンインタフェース ・マルチメディア ・データベース ・ネットワーク ・セキュリティ ・システム開発技術 ・ソフトウェア開発管理技術 |
| マネジメント系 | ・プロジェクトマネジメント ・サービスマネジメント ・システム監査 |
| ストラテジ系 | ・システム戦略 ・システム企画 ・経営戦略マネジメント ・技術戦略マネジメント ・ビジネスインダストリ ・企業活動 ・法務 |
| 試験分野(科目B) | 試験範囲詳細(科目B) |
|---|---|
| プログラミング全般に関すること | ・実装するプログラムの要求仕様(入出力,処理,データ構造,アルゴリズムほか)の把握, ・使用するプログラム言語の仕様に基づくプログラムの実装 ・既存のプログラムの解読及び変更 ・処理の流れや変数の変化の想定 ・プログラムのテスト ・処理の誤りの特定(デバッグ) ・及び修正方法の検討 など |
| プログラムの処理の基本要素に関すること | ・型 ・変数 ・配列 ・代入 ・算術演算 ・比較演算 ・論理演算 ・選択処理 ・繰返し処理 ・手続,関数の呼出し など |
| データ構造及びアルゴリズムに関すること | ・再帰 ・スタック ・キュー ・木構造 ・グラフ ・連結リスト ・整列 ・文字列処理 など |
| プログラミングの諸分野への適用に関すること | ・数理,データサイエンス,AI などの分野を題材としたプログラム など |
| 情報セキュリティに関すること | ・情報セキュリティ要求事項の提示(物理的管理策,技術的管理策及び組織的管理策) ・マルウェアからの保護 ・バックアップ ・ログ取得及び監視 ・情報の転送における情報セキュリティの維持 ・脆弱性管理 ・利用者アクセスの管理 ・運用状況の点検 など |
また、受験料も7,500円と安く、試験方式はCBT方式で令和5年から随時実施される資格試験になったので、受験のハードルもかなり下がりました。
情報セキュリティ分野で働くことを目指す場合でも、ITに関する基礎知識を有していることを評価してもらえる資格なので、
- 基本的なIT知識を身につけて、情報セキュリティ分野で働く土台作りをしたい方
はぜひ取得を検討してみてください。
IT分野への就職転職を目指す方なら取得しておいて損はない資格と言えますね!
応用情報技術者試験
「応用情報技術者試験」は、高度IT人材に求められる応用的な知識やスキルを問われる国家資格で、エンジニアの登竜門である「基本情報技術者試験」の上位資格にあたります。
IT分野全般の応用知識(技術だけでなく管理・経営も含む)を問う資格試験で、基本情報技術者試験と同じく情報セキュリティ分野に特化した資格という訳ではありませんが、情報セキュリティの問題が必須になっていたりと、セキュリティエンジニア・ホワイトハッカーにも必要とされる知識を問われる試験でもあります。
この試験は午前試験と午後試験に分かれていて、午前試験と午後試験の両方で100点満点中の60点以上を得点することで合格となります。
試験範囲は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野(午前試験) | 試験範囲詳細(午前試験) |
|---|---|
| テクノロジ系 | ・基礎理論 ・アルゴリズムとプログラミング ・コンピュータ構成要素 ・システム構成要素 ・ソフトウェア ・ハードウェア ・ヒューマンインタフェース ・マルチメディア ・データベース ・ネットワーク ・セキュリティ ・システム開発技術 ・ソフトウェア開発管理技術 |
| マネジメント系 | ・プロジェクトマネジメント ・サービスマネジメント ・システム監査 |
| ストラテジ系 | ・システム戦略 ・システム企画 ・経営戦略マネジメント ・技術戦略マネジメント ・ビジネスインダストリ ・企業活動 ・法務 |
| 試験分野(午後試験) | 試験範囲詳細(午後試験) |
|---|---|
| 経営戦略に関すること | マーケティング,経営分析,事業戦略・企業戦略,コーポレートファイナンス・事業価値評価,事業継続計画(BCP),会計・財務,リーダーシップ論 など |
| 情報戦略に関すること | ビジネスモデル,製品戦略,組織運営,アウトソーシング戦略,情報業界の動向,情報技術の動向,国際標準化の動向 など |
| 戦略立案・コンサルティングの技法に関すること | ロジカルシンキング,プレゼンテーション技法,バランススコアカード・SWOT 分析 など |
| システムアーキテクチャに関すること | 方式設計・機能分割,提案依頼書(RFP),要求分析,信頼性・性能,Web 技術(Web サービス・SOA を含む),仮想化技術,主要業種における業務知識,ソフトウェアパッケージ・オープンソースソフトウェアの適用,その他の新技術動向 など |
| サービスマネジメントに関すること | サービスマネジメントシステム(構成管理,事業関係管理,サービスレベル管理,供給者管理,サービスの予算業務及び会計業務,容量・能力管理,変更管理,サービスの設計及び移行,リリース及び展開管理,インシデント管理,サービス要求管理,問題管理,サービス可用性管理,サービス継続管理,サービスの報告,継続的改善ほか),サービスの運用(システム運用管理,仮想環境の運用管理,運用オペレーション,サービスデスクほか) など |
| プロジェクトマネジメントに関すること | プロジェクト全体計画(プロジェクト計画及びプロジェクトマネジメント計画),スコープの管理,資源の管理,プロジェクトチームのマネジメント,スケジュールの管理,コストの管理,リスクへの対応,リスクの管理,品質管理の遂行,調達の運営管理,コミュニケーションのマネジメント,見積手法 など |
| ネットワークに関すること | ネットワークアーキテクチャ,プロトコル,インターネット,イントラネット,VPN,通信トラフィック,有線・無線通信 など |
| データベースに関すること | データモデル,正規化,DBMS,データベース言語(SQL),データベースシステムの運用・保守 など |
| 組込みシステム開発に関すること | リアルタイム OS・MPU アーキテクチャ,省電力・高信頼設計・メモリ管理,センサー・アクチュエーター,組込みシステムの設計,個別アプリケーション(携帯電話,自動車,家電ほか) など |
| 情報システム開発に関すること | 外部設計,内部設計,テスト計画・テスト,標準化・部品化,開発環境,オブジェクト指向分析(UML),ソフトウェアライフサイクルプロセス(SLCP),個別アプリケーションシステム(ERP,SCM,CRM ほか) など |
| プログラミングに関すること | アルゴリズム,データ構造,プログラム作成技術(プログラム言語,マークアップ言語), Web プログラミング など |
| 情報セキュリティに関すること | 情報セキュリティポリシー,情報セキュリティマネジメント,リスク分析,データベースセキュリティ,ネットワークセキュリティ,アプリケーションセキュリティ,物理的セキュリティ,アクセス管理,暗号・認証,PKI,ファイアウォール,マルウェア対策(コンピュータウイルス,ボット,スパイウェアほか),不正アクセス対策,個人情報保護 など |
| システム監査に関すること | IT ガバナンス及び IT 統制と監査,情報システムや組込みシステムの企画・開発・運用・保守・廃棄プロセスの監査,プロジェクト管理の監査,アジャイル開発の監査,外部サービス管理の監査,情報セキュリティ監査,個人情報保護監査,他の監査(会計監査,業務監査,内部統制監査ほか)との連携・調整,システム監査の計画・実施・報告・フォローアップ,システム監査関連法規,システム監査人の倫理 など |
また、試験範囲がとても広いことで知られており、年間で春季(4月)と秋季(10月)の特定日にしか実施されない試験なので、受験のハードルもやや高いです。(受験料は7,500円と安い)
情報セキュリティ分野で働くことを目指す場合でも、評価を受けることが出来る資格なので、
- 応用的なIT分野全般の知識やスキルを身につけたい方
- ITエンジニアとして、自分の市場価値を上げたい方
はぜひ取得を検討してみてください。
サイバー犯罪捜査官の応募資格にも指定されていたりする信頼度の高い資格です。
情報セキュリティマネジメント試験
「情報セキュリティマネジメント」は、企業や組織の情報セキュリティ確保、サイバー攻撃などの脅威から組織を守るための知識などが問われるIT利用者向けの国家資格です。
情報セキュリティ分野に特化した資格ではありますが、セキュリティエンジニアやホワイトハッカーといった「エンジニア」として働きたい方に向けた資格とは言い難い資格でもあります。
試験範囲は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野(科目A-重点分野) | 試験範囲詳細(科目A-重点分野) |
|---|---|
| テクノ ロジ系 | 情報セキュリティ 情報セキュリティ管理 セキュリティ技術評価 情報セキュリティ対策 セキュリティ実装技術 |
| ストラテジ系 | 知的財産権 セキュリティ関連法規 労働関連・取引関連法規 その他の法律・ガイドライン・技術者倫理 標準化関連 |
| 試験分野(科目A-その他の分野) | 試験範囲詳細(科目A-その他の分野) |
|---|---|
| テクノロジ系 | ・システムの構成 ・システムの評価指標 ・データベース方式 ・データベース設計 ・データ操作 ・トランザクション処理 ・データベース応用 ・ネットワーク方式 ・データ通信と制御 ・通信プロトコル ・ネットワーク管理 ・ネットワーク応用 |
| マネジメント系 | ・プロジェクトマネジメント ・プロジェクトの統合 ・プロジェクトのステークホルダ ・プロジェクトのスコープ ・プロジェクトの資源 ・プロジェクトの時間 ・プロジェクトのコスト ・プロジェクトのリスク ・プロジェクトの品質 ・プロジェクトの調達 ・プロジェクトのコミュニケーション ・サービスマネジメント ・サービスマネジメントシステムの計画及び運用 ・パフォーマンス評価及び改善 ・サービスの運用 ・ファシリティマネジメント ・システム監査 ・内部統制 |
| ストラテジ系 | ・情報システム戦略 ・業務プロセス ・ソリューションビジネス ・システム活用促進・評価 ・システム化計画 ・要件定義 ・調達計画・実施 ・経営・組織論 経営管理,PDCA,経営組織 ・ 業務分析・データ利活用 ・会計・財務 |
| 試験分野(科目B) | 試験範囲詳細(科目B) |
|---|---|
| 情報資産管理の計画 | 情報資産の特定及び価値の明確化,管理責任及び利用の許容範囲の明確化,情報資産台帳の作成 など |
| 情報セキュリティリスクアセスメント及びリスク対応 | リスクの特定・分析・評価,リスク対応策の検討,リスク対応計画の策定 など |
| 情報資産に関する情報セキュリティ要求事項の提示 | 物理的管理策,部門の情報システムの調達・利用に関する技術的管理策及び組織的管理策 など |
| 情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示 | 情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示 など |
| 情報資産の管理 | 情報資産台帳の維持管理,媒体の管理,利用状況の記録 など |
| 部門の情報システム利用時の情報セキュリティの確保 | マルウェアからの保護,バックアップ,ログ取得及び監視,情報の転送における情報セキュリティの維持,脆弱性管理,利用者アクセスの管理,運用状況の点検 など |
| 業務の外部委託における情報セキュリティの確保 | 外部委託先の情報セキュリティの調査,外部委託先の情報セキュリティ管理の実施,外部委託の終了 など |
| 情報セキュリティインシデントの管理 | 発見,初動処理,分析及び復旧,再発防止策の提案・実施,証拠の収集 など |
| 情報セキュリティの意識向上 | 情報セキュリティの教育・訓練,情報セキュリティに関するアドバイス,内部不正による情報漏えいの防止 など |
| コンプライアンスの運用 | 順守指導,順守状況の評価と改善 など |
| 情報セキュリティマネジメントの継続的改善 | 問題点整理と分析,情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内諸規程)の見直し など |
| 情報セキュリティに関する動向・事例情報の収集と評価 | 情報セキュリティに関する動向・事例情報の収集と評価 など |
試験範囲もさほど広くなく、難易度も情報セキュリティ分野の中では比較的易しい試験なので、
- 情報セキュリティ分野の基礎知識を身につけたい方
- とりあえず情報セキュリティ系の資格を取得したい方
- 就職・転職活動でやる気をアピールしたい方
はぜひ取得を検討してみてください。
あくまでもIT利用者向けの資格なので、技術者としてのスキルのアピールとしてはあまり効果的ではありませんが、情報セキュリティに関する資格を取得しているのとしていないのとでは、採用担当者からの印象も大きく違ってきますので、未経験からの転職で履歴書に書けるものが何もない方は積極的に取得に挑戦しましょう。
また、受験料も7,500円と安く、試験方式はCBT方式で年間を通じて随時実施されている試験なので、受験のハードルが低いことも魅力の一つです。
実務経験のない未経験者がアピールするならば、資格はとても重要な要素になります!
情報処理安全確保支援士
「情報処理安全確保支援士試験」は、情報セキュリティの知識・技術だけでなく、IT分野全般、コンサルタントとしての知識、情報セキュリティ関連の法律の知識などの、情報セキュリティ分野に関係するあらゆる知識やスキルを問われる国家資格です。
試験難易度は、国内の情報セキュリティ系の資格で最難関に近いもので、実務経験者でも簡単には合格することができない難しい試験だとされています。(受験者の合格率は大体20%前後)
試験範囲は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野(科目A) | 試験範囲詳細(科目A) |
|---|---|
| テクノロジ系 | ・基礎理論 ・アルゴリズムとプログラミング ・コンピュータ構成要素 ・システム構成要素 ・ソフトウェア ・ハードウェア ・ヒューマンインタフェース ・マルチメディア ・データベース ・ネットワーク ・セキュリティ ・システム開発技術 ・ソフトウェア開発管理技術 |
| マネジメント系 | ・プロジェクトマネジメント ・サービスマネジメント ・システム監査 |
| ストラテジ系 | ・システム戦略 ・システム企画 ・経営戦略マネジメント ・技術戦略マネジメント ・ビジネスインダストリ ・企業活動 ・法務 |
| 試験分野(科目B) | 試験範囲詳細(科目B) |
|---|---|
| 情報セキュリティマネジメントの推進又は支援に関すること | 情報セキュリティ方針の策定,情報セキュリティリスクアセスメント(リスクの特定・分析・評価ほか),情報セキュリティリスク対応(リスク対応計画の策定ほか),情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定,情報セキュリティ監査,情報セキュリティに関する動向・事例の収集と分析,関係者とのコミュニケーション など |
| 情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること | 企画・要件定義(セキュリティの観点),製品・サービスのセキュアな導入,アーキテクチャの設計(セキュリティの観点),セキュリティ機能の設計・実装,セキュアプログラミング,セキュリティテスト(ファジング,脆弱性診断,ぺネトレーションテストほか),運用・保守(セキュリティの観点),開発環境のセキュリティ確保 など |
| 情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること | 暗号利用及び鍵管理,マルウェア対策,バックアップ,セキュリティ監視並びにログの取得及び分析,ネットワーク及び機器(利用者エンドポイント機器ほか)のセキュリティ管理,脆弱性への対応,物理的セキュリティ管理(入退管理ほか),アカウント管理及びアクセス管理,人的管理(情報セキュリティの教育・訓練,内部不正の防止ほか),サプライチェーンの情報セキュリティの推進,コンプライアンス管理(個人情報保護法,不正競争防止法などの法令,契約ほかの遵守) など |
| 情報セキュリティインシデント管理の推進又は支援に関すること | 情報セキュリティインシデントの管理体制の構築,情報セキュリティ事象の評価(検知・連絡受付,初動対応,事象をインシデントとするかの判断,対応の優先順位の判断ほか),情報セキュリティインシデントへの対応(原因の特定,復旧,報告・情報発信,再発の防止ほか),証拠の収集及び分析(デジタルフォレンジックスほか) など |
試験方式は筆記方式で、年間で春季(4月)と秋季(10月)の特定日にしか実施されない試験なので、受験のハードルもやや高めですが、信頼性の高い情報セキュリティ系国家資格なので、情報セキュリティ分野へ進むなら、いずれは取得したい資格でもあります。
試験範囲も広く、難易度も高い試験なので、
- 応用的な情報セキュリティ分野全般の知識やスキルを身につけたい方
- 情報セキュリティ分野のエンジニアとして、キャリアップを目指す方
はぜひ取得を検討してみてください。
情報セキュリティ分野で働く方が、キャリアアップのために取得を目指すケースが多いようです。
CompTIA Security+
「CompTIA Security+」は、初心者や中級者を対象にした、エンジニア向け情報セキュリティ特化の国際的な認定資格です。
試験分野と出題比率は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野 | 出題比率 |
|---|---|
| 攻撃、 脅威、 脆弱性 | 24% |
| アーキテクチャと設計 | 21% |
| 実装 | 25% |
| 運用とインシデントレスポンス | 16% |
| ガバナンス、 リスク、 コンプライアンス | 14% |
また、試験方式はCBT方式で年間を通じて随時実施されている試験で、特に複雑な受験資格もなく、受験のハードルが低いことも魅力の一つです。(受験料は52,192円とやや高めです。)
情報セキュリティ分野に特化した資格の中で、初学者が目指しやすい難易度の資格なので、
- 基本的な情報セキュリティ分野の知識やスキルを身につけたい方
- 情報セキュリティ分野のエンジニアとして、知識やスキルを証明できる資格が欲しい方
はぜひ取得を検討してみてください。
取得難易度は「情報処理安全確保支援士」よりも易しい資格なので、セキュリティ分野に特化した資格の取得を考えている人は、まずここから挑戦してみてはいかがでしょうか?
情報セキュリティ分野の道に進みたい方のの第一歩にオススメです!
CompTIA PenTest+
「CompTIA PenTest+」は、ネットワークの脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うエンジニアを対象にした、情報セキュリティ特化の国際的な認定資格です。
出題内容は、ペネトレーションテストの手法や脆弱性評価など、問われる内容がペネトレーションテスターの業務に関連が深く、ペネトレーションテスターの一歩目に最適な資格になっています。
試験分野と出題比率は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野 | 出題比率 |
|---|---|
| 計画とスコープ | 14% |
| 情報収集と脆弱性のスキャン | 22% |
| 攻撃とエクスプロイト | 30% |
| 報告とコミュニケーション | 18% |
| ツールとコード分析 | 16% |
また、試験方式はCBT方式で年間を通じて随時実施されている試験で、特に複雑な受験資格もなく、受験のハードルが低いことも魅力の一つです。(受験料は52,192円とやや高めです。)
- ペネトレーションテストや脆弱性評価の知識やスキルを身につけたい方
- ペネトレーションテスターへの転職を目指す方
はぜひ取得を検討してみてください
ペネトレーションテスターは、疑似的なサイバー攻撃を行い、システムの安全性を調査したりする仕事です。
実践的セキュリティスクール「セキュ塾」では、ペネトレーションテストの知識やスキルが身につく「ホワイトハッカー育成コース」が開講されています。詳細が知りたい方はぜひ無料カウンセリングをご利用ください!
CompTIA CySA+
「CompTIA CySA+」は、セキュリティモニタリングによるインシデントの検出、予防、対応を主な業務にするセキュリティアナリストを対象にした、情報セキュリティ特化の国際的な認定資格です。
出題内容は、脅威検出や脅威分析ツールの使用など、問われる内容がセキュリティアナリストの業務に関連が深く、セキュリティアナリストの一歩目に最適な資格になっています。
試験分野と出題比率は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野 | 出題比率 |
|---|---|
| 脅威および脆弱性マネジメント | 22% |
| ソフトウェアおよびシステムセキュリティ | 18% |
| セキュリティオペレーションおよびモニタリング | 25% |
| インシデントレスポンス | 22% |
| コンプライアンスおよびアセスメント | 13% |
また、試験方式はCBT方式で年間を通じて随時実施されている試験で、特に複雑な受験資格もなく、受験のハードルが低いことも魅力の一つです。(受験料は52,192円とやや高めです。)
- 脅威インテリジェンスや脆弱性管理の知識やスキルを身につけたい方
- セキュリティアナリストへの転職を考えている方
はぜひ取得を検討してみてください。
セキュリティエバンジェリスト「面和毅」講師にお聞きした「セキュリティアナリストという仕事について」の動画です!
実践的セキュリティスクール「セキュ塾」では、この記事の執筆者でもあり「OSINT実践ガイド」の著者でもある「面和毅」が主講師を務める「脅威インテリジェンスコース」の開講を予定しております。詳細が知りたい方はぜひお問い合わせください!
セキュリティアナリストを目指す方は下記の記事もチェックしてみてください!
CompTIA CASP+
「CompTIA CASP+」は、高度な情報セキュリティを担当するセキュリティエンジニアなどを対象にした、情報セキュリティ特化の国際的な認定資格です。
この試験は、CompTIAの中で最上位に位置する試験で、高度な情報セキュリティの知識やスキルが幅広く問われ、マネジメントも含む、実務者としての知識やスキルが問われます。
出題内容は、情報セキュリティ分野全般を深く問うようなものになっており、フォレンジック分析ツールの手法、脆弱性分析、インテリジェンス、暗号化技術など様々です。
試験分野と出題比率は下記の通りです。(詳細を知りたい方は公式サイトを確認してください)
| 試験分野 | 出題比率 |
|---|---|
| セキュリティアーキテクチャ | 29% |
| セキュリティオペレーション | 30% |
| セキュリティエンジニアリングと暗号化技術 | 26% |
| ガバナンス、リスク、コンプライアンス | 15% |
また、試験方式はCBT方式で年間を通じて随時実施されている試験で、特に複雑な受験資格もなく、受験のハードルが低いことも魅力の一つです。(受験料は65,754円とやや高めです。)
- 応用的な情報セキュリティ分野全般の知識やスキルを身につけたい方
- 情報セキュリティ分野のエンジニアとして、キャリアップを目指す方
- 国際的に活躍するエンジニアになりたい方
はぜひ取得を検討してみてください。
試験範囲も広く問題の難易度も高い試験になっています!
CISSP
「CISSP」は、高度な情報セキュリティを担当するセキュリティエンジニアなどを対象にした、ISC2がを行っている情報セキュリティ特化の国際的な認定資格です。
この試験は、国際的に最も権威ある情報セキュリティ資格とも言われており、セキュリティ業務従事者から管理職者としての知識やスキルが問われる、取得難易度の高い資格試験になっています。
試験範囲は非常に広く、情報セキュリティ分野の下記の8つのドメインから出題され、このドメインはそれぞれ独立しているのではなく、複数のドメインの知識やスキルを組み合わせて、問題を解くように構成されています。(詳細を知りたい方は公式サイトを確認してください)
| ドメイン(分野) | 出題比率 |
|---|---|
| セキュリティとリスクマネジメント | 16% |
| 資産のセキュリティ | 10% |
| セキュリティアーキテクチャとエンジニアリング | 13% |
| 通信とネットワークセキュリティ | 13% |
| アイデンティティおよびアクセス管理 | 13% |
| セキュリティの評価とテスト | 12% |
| セキュリティの運用 | 13% |
| ソフトウェア開発セキュリティ | 10% |
受験資格は、犯罪歴のない16歳以上なら問題なく受けることが出来るのですが、資格の認定要件が複雑です。(興味がある方はこちらを確認してみてください)
また、試験方式はCAT方式で年間を通じて随時実施されている試験で、受験料は749ドルと高額です。
- 応用的な情報セキュリティ分野全般の知識やスキルを身につけたい方
- 情報セキュリティ分野のエンジニアとして、キャリアップを目指す方
- 国際的に活躍するエンジニアになりたい方
はぜひ取得を検討してみてください。
受験料が749ドル!受験料が高い資格を受験するのはプレッシャーがかかりますよね……。
CEH(認定ホワイトハッカー)
「CEH(認定ホワイトハッカー)」は、ホワイトハッキングに関する知識やスキル有していることを証明する、情報セキュリティ特化の国際的な認定資格です。
CEHは海外での知名度が高く、日本でも経済産業省が発行している情報セキュリティサービス基準で「脆弱性診断サービスの提供に必要な専門性を満たす資格」として紹介されています。
試験範囲が下記の分野で、広く深く問われる資格試験になっており、セキュリティ業務従事者から管理職者といった情報セキュリティに携わるあらゆるエンジニアが対象の試験です。
| 分野 | 試験範囲詳細 |
|---|---|
| 情報セキュリティと倫理的ハッキングの概要 | ・倫理的ハッキング入門 |
| 技術偵察 | ・足跡と偵察 ・ネットワークのスキャン ・列挙 |
| システムハッキングの段階と攻撃手法 | ・脆弱性分析 ・システムハッキング ・マルウェアの脅威 |
| ネットワークと境界ハッキング | ・スニッフィング ・ソーシャルエンジニアリング ・サービス拒否 ・セッションハイジャック ・IDS、ファイアウォール、ハニーポットの回避 |
| Webアプリケーションのハッキング | ・ウェブサーバーのハッキング ・Webアプリケーションのハッキング ・SQLインジェクション |
| ワイヤレスネットワークのハッキング | ・無線ネットワークのハッキング |
| モバイル プラットフォーム、IoT、OT ハッキング | ・モバイルプラットフォームのハッキング ・IoTとOTのハッキング |
| クラウドコンピューティング | ・クラウドコンピューティング |
| 暗号化 | ・暗号化 |
また、受験料を払うだけでは受験することが出来ず、下記条件のどちらかを満たしている必要があります。
- 5日間の公式トレーニング(受験料込みで約60万円程度)を受講した。
- 情報セキュリティ分野の実務経験が2年以上ある。
試験方式は、CBT方式で年間を通じて随時実施されている試験で、受験料は547,800円(CEHコース受講料含む)と高額です。
- 情報セキュリティ分野のエンジニアとしてスキルアップを図りたい方
- 自分の市場価値を上げたい方
- 国際的に活躍するエンジニアになりたい方
は取得を検討してみてください。
受験のハードルは高い資格ですが、ゆくゆくは挑戦したい資格ですね!
まとめ
未経験から情報セキュリティ分野を目指す方が就職・転職活動に備えて何か資格取得を目指す時、自分にどんな資格が必要かイメージすることは難しいことです。
しかし、情報セキュリティ分野への就職・転職を考える未経験者にとっての資格は非常に重要な武器になることを忘れてはいけません。
未経験からセキュリティエンジニアやホワイトハッカーを目指す方で、取得する資格に迷われている方は、まず下記の資格の取得の検討をしてみてはいかがでしょうか?
- 基本情報技術者試験(IT分野で働く基礎知識が身につく国家資格)
- 情報セキュリティマネジメント(エンジニア向けとは言い難いが、情報セキュリティ分野の資格で取得がしやすい国家資格)
- CompTIA Security+(情報セキュリティ分野の初心者~中級者を対象としたエンジニア向け認定資格)
- 情報処理安全確保支援士(国内情報セキュリティ資格の最難関と言われている国家資格)
また、この記事で紹介した資格以外にもネットワークやOSの資格など、情報セキュリティ分野に進むエンジニアが取得しておくとメリットがある資格はまだまだありますので、エンジニアとしてのキャリアアップを考える際は自分で調査してみましょう。
ここまでお読みいただきありがとうございます。ホワイトハッカーやセキュリティエンジニアの養成を目的とした実践教育を提供する、セキュリティ特化スクール「セキュ塾」もチェックしてみてください!
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2024年10月生募集中)
- ホワイトハッカー育成コース(2024年8月生募集中)
コメント