「これからのセキュリティ教育を考える」(3)「セキュリティ技術者に求められる資質とは？」

Scan編集部
http://www.ns-research.jp/cgi-bin/ct/p.cgi?trn_ssm

1月22日からNetSecurityでWeb連載を開始したセキュリティ教育特集の最終回である第3回目の記事がアップデートされています。

JNSA事務局長の下村正洋さんに、セキュリティ技術者として必要な資質や心がまえについて話を聞く連載のいよいよ最終回。今回は、おすすめのセキュリティ資格についてうかがいました。

───

＞＞セキュリティ技術者の知識や技術は「これだけあれば大丈夫」というものではない

Scan編集部：
よいセキュリティ技術者になるためには、技術や知識などどんなものが必要でしょうか？

下村氏(以下敬称略):
前回と重なりますけど、広範囲な知識が必要です。技術でもこれだけあれば大丈夫というものではないと思います。あと、機械語とかも必要かな!?　基本的には、OSやネットワーク、ハードウェア、Webなども含んだ包括的な知識と、それを応用できる技術が欲しいところですね。

Scan編集部：
セキュリティ技術者を対象にした教育コースや資格についてお伺いします。こういったもので取得・受講すべきものはありますか？

下村氏:
まだ初心者の方であれば、手前味噌になりますが、SEA/JのCSBM（情報セキュリティ技術認定　基礎コース）ですね。情報セキュリティ全般の知識を網羅した教育を行いますので、情報セキュリティ技術とはどんなものであるが体感できると思います。それと、前述したようにIPAの情報処理技術者試験にも情報セキュリティ試験がありますので、こちらにも挑戦されることをオススメしておきます。

Scan編集部：
ベンダー認定のセキュリティ資格が多数ありますが、そういったものは…

下村氏:
もちろん有用だとは思います。ですが、それだけでは不十分となるかもしれません。セキュリティ技術は、幅広く複合的なものです。ひとつのベンダーさんの環境だけでセキュリティが確保できるわけではないので、補完をする意味でもいろいろなものを吸収しておきたいものです。

＞＞資格取得前に技術系セキュリティ技術者になるのかマネジメント系専門家になるのかはっきりさせるべき

Scan編集部：
セキュリティ技術者は、技術系とマネジメント系に大別されるようになりました。資格についてもそのように分類されているのでしょうか？

下村氏:
セキュリティ資格については、ベンダーや各団体を含めてさまざまなものが存在していますが、それほど明確には区分けはされていません。ただ、技術系指向とマネジメント指向の色分けはできつつあり、経産省の情報セキュリティ教育研究会の教育マップでも、おおよその分類はできます（ http://www.ns-research.jp/cgi-bin/ct/p.cgi?trn_ssm ）。

Scan編集部：
図を見ると中間的なポジションの資格も結構ありますね。

下村氏:
技術系セキュリティ技術者になるのか、それともマネジメント系専門家になるのかは、資格取得前にはっきりさせるべきです。中間的な資格は技術・マネジメントに精通できるので、抑えておきたい資格ではあります。そして、マネジメント系ならば目指すのは国際的資格である「CISSP」でしょう。これを取得していれば、外資系企業も含めて、自身のスキルを示しやすいでしょう。また、少し目線を変えて、情報セキュリティ監査人なども面白いかもしれません。今後益々必要になってくると思われる情報セキュリティ監査に備え、情報システムやマネージメントシステムの構築段階から、監査の勘所（＝重要ヶ所）を十分に理解した上で設計をするなど、その役割は重要になってくる様に思います。

Scan編集部：
セキュリティ技術者の質や数という点では、欧米など海外は充実しているのでしょうか…？

※記事のつづき
「これからのセキュリティ教育を考える」
http://www.ns-research.jp/cgi-bin/ct/p.cgi?trn_ssm

【執筆：Scan編集部】