サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹
桜が満開となった2019年
4
月
1
日、新生「株式会社インフォメーション・ディベロプメント」を含むわれわれ
ID
グループは「株式会社
ID
ホールディングス」を持株会社とするホールディングス制に移行しました。
新体制でも引き続きフェローをつとめる関原から今年度最初のコラムをお届けします。
当社を含む
IT
サービスの企業では、技術者が持つエンジニアリングやコンサルティング等の
IT
スキルをいかに効率よくお客様に提供し利益に変えていくか、ということが全てですが、業界の現場ではその源泉となる
IT
スキルは資格とリンクする
/
しないという議論がもう
20
年以上前からありました。
#日本では資格
=
免許の考え方が強く、法的な業務独占が無い
IT
分野の資格を資格と呼ぶのはおかしいという考え方があり、私自身も普段は
IT
資格ではなく
IT
に関する認定と表現していますが、今回は引用の関係ですべて資格と表現します。
「
IPA
の資格は現場では役に立たない」とか、「ベンダ資格は単なる資格商法だ」とかそれぞれの立場から前提となる担当業務やフェーズを考慮しない議論をしているのを
Web
上を中心に見聞きしてきました。当時の私は「まずはその資格を取得できるレベルになってから議論していただきたい!」とよく思ったものです。
現在は、国内外の資格を認定する団体が様々なプロモーション活動を実施しており、以前と比べれば
IT
スキルと資格のリンクについて理解が進んできているなと感じています。
■ITスキル - 資格と給与
3月末に
IT
人材に関するサイトで
2019
年度版
IT
資格ランキングの日本語訳が発表されました。
これはグローバルで認知されていて認定者の給与が高い資格のランキングとなり、
IPA
資格は調査対象外と考えられます。
外部サイト:
稼げる
IT
資格はどれ?―米グローバルナレッジが
2019
年版のトップ
15
を発表
#オリジナルは 2019/2/11 の以下の記事 “ 15 Top-Paying IT Certifications for 2019”
#https://www.globalknowledge.com/us-en/resources/resource-library/articles/top-paying-certifications/
全て年収
10
万ドルを超える錚々(そうそう)たる資格が並んでいますが、近年のランクのトレンドはというと、今回も
5
つの資格がランクインした
セキュリティ関連(CISM, CRISC, CISSP, CEH, CompTIA Security+)
と
4
つの資格がランクインした
クラウド(仮想化含む)関連(GCP CA, AWS CSA-A, AWS CD-A,
CCA-V
)
となっています。
15~20年程前はテクノロジーが無いので当たり前ですがクラウド関連の資格は無く、セキュリティに関するマネジメントやテクノロジーも今と比べれば低プライオリティでした。
当時この手のランキングでは、
CBT
による筆記試験に加え最高難易度のラボ試験をパスする必要があり、
ネットワークテクノロジーの博士号といわれたシスコシステムズの
CCIE(Cisco Certified Internetwork Expert)
が不動の1位
でしたから時代は変わるものです。
個人的には資格認定団体の思惑もあってか
”
非常にダイナミック
”
に上下するランキングに興味を惹かれており、セキュリティとクラウドの流れが見えていることから、今年は
セキュリティ業界・クラウド業界双方から評価が高い(ISC)²のCCSP(Certified Cloud Security Professional)
が上位に来るかと予想していましたが残念ながら圏外でした。
#ちょっと先取りしすぎていてランクインは来年かもしれませんね…
#2017~ 2018 のランキングはこちら
#外部サイト: -2018年
#外部サイト: -2017年
■資格の認定団体
国内で認知されている
IT
資格は認定する団体の立場によって以下のようにカテゴライズされます。
|
区分
|
公的団体(国家資格) |
|---|---|
| 特徴 |
特定のベンダのソリューションを前提にせず、デファクトスタンダードの技術に関する知識と国内のIT業界での仕事の進め方、用語の使い方、関連法規についての理解度を認定する。
ベンダ資格と比較すると上流フェーズ寄りのスキルが必要で出題範囲もアカデミックな領域を含む。 1つの試験の合格をもって認定となる。 取得チャンスは年に1~2回。試験の枠組みが変更になることはあるが、更新という考え方は無く、失効しない。 現行は2009年の枠組み(2017にマイナーチェンジ)。 |
| 団体名 | 経済産業省(IPA/JITECが実施) |
| 分野 | IT全般 |
| 資格・認定名称 |
ITパスポート、
基本情報技術者、
応用情報技術者、
ITストラテジスト、 システムアーキテクト、 プロジェクトマネージャ、 ネットワークスペシャリスト、 データベーススペシャリスト、 エンベデッドシステムスペシャリスト、 ITサービスマネージャ、 システム監査技術者、 情報処理安全確保支援士 |
| 参考URL | https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html |
|
区分
|
ベンダ |
|---|---|
| 特徴 |
各社ごとの実装・考え方を前提にし、原則的に自社が提供するソリューションの設計・構築・運用スキルについて認定する。
ソリューションの実装方法とその動作についての理解を問い現場で下流フェーズとの親和性が高い。 ほぼすべてが1つまたは複数の試験の合格をもって認定となる。 ほぼ一年中受験可能。一定期間後に失効する期限付きのものが多い。 |
| ① | |
| 団体名 | マイクロソフト |
| 分野 | OS、クラウド、DB、アプリ他 |
| 資格・認定名称 | MCSE, MCSA, … |
| 参考URL | https://www.microsoft.com/ja-jp/learning/certification-overview.aspx |
| ② | |
| 団体名 | シスコシステムズ |
| 分野 | ネットワーク、セキュリティ他 |
| 資格・認定名称 | CCIE, CCNP, CCNA, … |
| 参考URL | https://www.cisco.com/c/ja_jp/training-events/training-certifications/overview.html |
| ③ | |
| 団体名 | AWS |
| 分野 | クラウド |
| 資格・認定名称 |
ソリューションアーキテクト アソシエイト
ソリューションアーキテクト プロフェッショナル, … |
| 参考URL | https://aws.amazon.com/jp/certification/ |
| ④ | |
| 団体名 | グーグル |
| 分野 | クラウド |
| 資格・認定名称 | Professional Cloud Architect, … |
| 参考URL | https://cloud.google.com/certification/?hl=ja |
その他にもあります
|
区分
|
専門家団体 |
|---|---|
| 特徴 |
特定のベンダに依存せずに特定技術領域(セキュリティ・クラウド・インフラ・マネジメント等)のスキルについて認定する。
一貫したフレームワークをもち、暗記可能な知識だけではなくそのタイトルに必要な考え方を体にしみこませることに主眼を置く。 認定には試験の合格だけではなく該当する分野の経験や同業者の推薦、倫理規定への同意が必要なものもあり、知識のアップデートのため認定後も継続教育を続けたうえ申請をしないと認定が失効する。 ISACAを除きほぼ一年中受験可能。日本語対応していない試験も多い。 年間の資格維持費や更新費用が必要となるものがほとんど。 |
| ① | |
| 団体名 | ISACA |
| 分野 | 監査、セキュリティ、リスク、ガバナンス |
| 資格・認定名称 | CISA, CISM, CRISC, CGEIT, … |
| 参考URL | https://www.isaca.org/CERTIFICATION/Pages/default.aspx |
| ② | |
| 団体名 | (ISC)² |
| 分野 | セキュリティ、クラウドセキュリティ |
| 資格・認定名称 | CISSP, CCSP, … |
| 参考URL | https://www.isc2.org/Certifications |
| ③ | |
| 団体名 | EC-Council |
| 分野 | セキュリティ、ハッキング |
| 資格・認定名称 | CEH(認定ホワイトハッカー), ECSA, CHFI, … |
| 参考URL | https://www.eccouncil.org/programs/ |
| ④ | |
| 団体名 | Cloud Security Alliance |
| 分野 | クラウドセキュリティ |
| 資格・認定名称 | CCSK |
| 参考URL | https://cloudsecurityalliance.jp/site/?page_id=403 |
| ⑤ | |
| 団体名 | CompTIA |
| 分野 | ITインフラ全般 |
| 資格・認定名称 | Securiy+, CySA+, Cloud+, Network+, … |
| 参考URL | https://www.comptia.jp/cert_about/certabout/ |
| ⑥ | |
| 団体名 | PMI |
| 分野 | プロジェクトマネジメント |
| 資格・認定名称 | PMP, … |
| 参考URL | https://www.pmi-japan.org/ |
「技術がある」と口で言うだけじゃわからない。
外部サイト:
IPA 情報処理技術者試験ポスター
というのは全くその通りで、それぞれの資格の特徴と自分の業務範囲を照らし合わせたうえ上手にスキルアップや自己アピールに使いたいですね。
私は限られたリソースを活用して業務を効率よく進めるにあたって保有スキルのアピールはビジネスの依頼者と資格の認定者、双方にとって非常に重要だと考えています。
例えば
- 保有するスキル分野とレベルが明確に伝えられるため依頼者は最適なジョブアサインができ、認定者はチャンスを最大化できる。
- 認定者同士ではお互いの技術分野とレベルを知ることができ、統一された方法論と用語でコミュニケーションができる。
- アピールにふさわしいスキルレベルを常に維持できるよう個人の行動を促す効果がある。
というあたりがメリットとして挙げられるでしょう。
■
セキュリティ
⇔
クラウド
今が旬のセキュリティとクラウドの分野。セキュリティ分野については専門家団体が多く、クラウド分野はベンダの資格が多いのがお分かりいただけたと思います。
クラウドに関するベンダ資格にも当然セキュリティの要素はありますが、ポイントとしていえるのは以下の
2
点でしょう。
・ベンダは自社クラウドにロックインしたいため試験問題では自社のアーキテクチャ論をひたすらアピールする。
・専門家団体資格ではベンダロックイン / ロックアウトをかなり大きなリスクとして位置づけているため、そのリスクをコントロールできる考え方や行動を正解とした問題を作成する。
さて、ここでこのジャンルをクロスオーバーする資格をいくつかピックアップして比較してみましょう。クラウドに関する資格なので「 C 」がやたら出てきます …
| 名称 | CCSK(Certification of Cloud Security Knowledge) |
|---|---|
| 認定団体 | Cloud Security Alliance |
|
試験
※記載内容は変更される 場合があります (CBT=パソコン上の試験) |
日本語 英語
任意の場所からWebベースのオンライン 選択式60問 90分 80%以上のスコア $345 |
| 認定要件 | 試験合格+規約同意で認定 |
| 更新 | ー |
| 備考 |
日本ではあまりメジャーではない
(ISC)²のCCSP連携しCCSPの前段階の資格と位置付けられている |
| URL |
http://cloudsecurityalliance.jp/Benkyokai/
767lzb821ELL213t&$2/CCSK%20Benkyokai_140730.pdf |
クラウドコンピューティングのセキュリティを実現するため国際的に活動を展開している非営利法人。活動の中心の一つにクラウドセキュリティのベストプラクティスを広め推奨していることが挙げられる。日本国内では一般社団法人 日本クラウドセキュリティアライアンス(CSAジャパン)が活動中。(https://cloudsecurityalliance.jp/site/)
| 名称 | CSCP(CompTIA Secure Cloud Professional) |
|---|---|
| 認定団体x | CompTIA |
|
試験
※記載内容は変更される 場合があります (CBT=パソコン上の試験) |
Securiy+ 日本語 英語
試験センター(ピアソンVUE)でのCBT 選択式+複合形式 最大90問 90分 100~900のスコア形式 750スコア以上 ¥42,936 (割引バウチャあり) Cloud+ 日本語 英語 試験センター(ピアソンVUE)でのCBT 選択式+複合形式 最大90問 90分 100~900のスコア形式 750スコア以上 ¥40,424 (割引バウチャあり) |
| 認定要件 | 試験合格+規約同意で認定 |
| 更新 |
CEプログラムの場合
毎年一定のCEU(継続教育ユニット)の登録が必要 年会費の支払いが必要 再受験の場合 2つの試験の最新バージョンを再受験し合格する、もしくは上位資格を合格することで再認定可能 |
| 備考 |
メジャーな2資格(Security+,Cloud+)のスタック認定と位置付けられている
現時点ではあまり知られていないが今後メジャーになる可能性も |
| URL |
https://www.comptia.jp/certif/comptia_stackable_certification/
https://www.comptia.jp/certif/core/comptia_security/ https://www.comptia.jp/certif/infrastructure/comptia_cloud/ https://www.comptia.jp/cert_about/recert/ |
| 名称 | CCSP(Certified Cloud Security Professional) |
|---|---|
| 認定団体 | (ISC)² |
|
試験
※記載内容は変更される 場合があります (CBT=パソコン上の試験) |
英語
試験センター(ピアソンVUE)でのCBT #国内では3か所程度 選択式125問 240分 $599+Tax |
| 認定要件 |
一定の業務経験が必要
試験合格と規約同意後、CISSP等の保持者からエンドースメント(推薦)を受け問題が無ければ2か月程度で認定 |
| 更新 |
毎年30時間分のCPE(継続教育単位)の登録が必要
年会費の支払いが必要 |
| 備考 |
クラウドセキュリティの分野では現在最もメジャー
しかし日本での登録者はかなり少ない模様 |
| URL |
https://japan.isc2.org/examination_ccsp.html
https://japan.isc2.org/ccsp_outline.html https://japan.isc2.org/ccsp_regist.html https://japan.isc2.org/member_cpecredit.html |
| 名称 | CISSP(Certified Information Systems Security Professional )(参考) |
|---|---|
| 認定団体 | (ISC)² |
|
試験
※記載内容は変更される 場合があります (CBT=パソコン上の試験) |
日本語 英語
試験センター(ピアソンVUE)でのCBT #国内では3か所程度 選択式250問 360分(今後変更の可能性あり) $699+Tax |
| 認定要件 |
一定の業務経験が必要
試験合格と規約同意後、CISSP等の保持者からエンドースメント(推薦)を受け問題が無ければ2か月程度で認定 |
| 更新 |
毎年40時間分のCPE(継続教育単位)の登録が必要
年会費の支払いが必要 |
| 備考 | 言わずと知れたセキュリティ業界のスタンダード資格 |
| URL |
https://japan.isc2.org/examination_cissp.html
https://japan.isc2.org/cissp_outline.html https://japan.isc2.org/cissp_regist.html https://japan.isc2.org/member_cpecredit.html |
私の意見ではグローバルのセキュリティ専門家の団体として圧倒的な認知度を誇る
(ISC)²
のクラウドセキュリティ資格 「
CCSP
」を取得できればベストです。
しかし現在インフラやクラウドの構築・運用を中心に活躍中で徐々にセキュリティにシフトしたいエンジニアの方であると準備にちょっと時間がかかるかもしれません。
その場合のお勧めは考え方が
(ISC)²
に通じるものがある
CompTIA
の
CSCP(CompTIA Secure Cloud Professional)
をまず取得するというやり方です。
その後さらにセキュリティ分野の上流フェーズを強化する場合は
CCSP
に進み、個別クラウドの活用力を強化したい場合は各クラウドベンダの認定資格を取得(すでにお持ちの方も多いかと思いますが
…
)するのが流れと効率がよい方法ではないでしょうか。
また、現在
Security+
を持っている人はすぐにでも
Cloud+
の取得をお奨めします。インフラの領域でいまの時代に求められるスキルが強化でき、今必要とされるハイスキル人材への転換を強力に後押しすることになるのは間違いないでしょう。
■デジタルバッジ
近年、各個人が認定された資格についてその真偽や有効期限を所属する組織内外の関係者がオンラインで手軽に確認したいというニーズから、
Acclaim
のような「デジタルバッジ」という
Web
ベースの認定確認システムが広がり始めています。
外部サイト:
Acclaim
#AWSにも似たような別の仕組みがあります。
アカウントを作成すると個人のページはこのような形になり、公開設定した資格のデジタルバッジとその詳細が世界に向けて公開されます。
バッジをクリックするとこのような資格の詳細画面となります。
セキュリティやクラウドの分野に限らず、今の
IT
資格は取得するとこのようなデジタルバッジを発行するものがありますので、まずはゲーム感覚で集めてみるのも面白いかもしれません。
Linkedin
をはじめとした自分の
SNS
アカウントにもリンク可能です。
■継続教育プログラム
IT技術者にとって環境の変化や技術の進化をキャッチアップする継続的な学習は非常に重要です。ところが学生や転職検討者からはこの必要性が非常にネガティブに捉えられ、業界入りを敬遠する向きもあるようです。
しかし考えてみれば継続学習の重要性・必要性は技術者のみならず、価値観や
Identity
の変化と共に変わりゆく今の社会で活躍するすべてのビジネスマンにも該当するのではないでしょうか。
#これを
”
努力
”
と捉えると同じことを楽しんでやる人にはかなわないでしょう。身も蓋もありませんが
…
継続したスキルアップは差別化要因となり時間軸に沿った自身の価値向上ににつながっていきます。そうなれば有利なポジションでの活動が継続でき、結果的に楽に結果を出すことが出来るようになります。
■平成の終わりに
外部サイト:
情報処理技術者試験 旧試験制度
現在
10
種類以上存在する、
IT
の公的資格も平成元年には「システム監査」、多くの高度論文試験の祖先「特種」、ネットワークスペシャリストの前身「オンライン」、現在の応用レベルより格上といわれる「1種」、エントリーレベルの「2種」の
5
種類だけでした。
ベンダ資格はマイクロソフトもシスコシステムズも認定プログラムが存在していませんでしたし、専門家団体の資格で有名なものは
ISACA
の
CISA
と
PMI
の
PMP
くらいでしょうか。調べてみると
(ISC)²
は
1989
年つまり平成元年に活動を始めたようです。
平成が終わろうとする今、
IT
資格がいくつあるのかは数えたことがありませんが平成元年とは比較にならない数の資格があるでしょう。いくつあるにせよ平成の
31
年間でそれだけの
IT
資格が必要とされたということは
IT
資格が持つ有効性の指標になることは間違いないと断言できます。
これから始まる令和の時代。
IT
資格がどのようにスキルを証明し続けていくのか。それは認定団体の努力・活動だけでなく認定された方々の行動も大きな要因となるでしょう。
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
