メインコンテンツへ

セキュリティエンジニアにおすすめの資格やその難易度とは

コラム

セキュリティエンジニアとして働いていてもキャリアアップや転職に有利な資格を知らない人も多いのではないでしょうか。そこで今回はおすすめの資格や、取得の難易度などを解説します。

セキュリティエンジニアの仕事内容とは

セキュリティエンジニアの仕事とは、サイバー攻撃からの防御や情報漏えいの未然防止が主な内容です。企業内でのセキュリティ面の課題を発見し、対策を立案する能力が必要です。具体的な業務としては、以下のようなものがあります。

● 企画・提案
● 設計
● 実装
● テスト
● 運用・保守

企業のセキュリティ状況を調査し、新たなシステムの企画・提案を行います。設計フェーズでは、ハードウェアからアプリケーション、構築後の運用までを考慮に入れなくてはなりません。近年は、クラウドを活用する企業が増えているため、クラウドの知識も必須です。

設計の完了後、実装に移ります。必要なセキュリティは機器やソフトウェアによって異なるため、適切な組み合わせで実装されているかどうかが極めて重要です。構築されたシステムは、入念にテストを行います。システムが納品されても、それで終わりではありません。日々の運用と保守において、新たなサイバー攻撃の知見が得られれば対応するなど、システムの安全を守る仕事が続きます。
SBテクノロジーの採用ページには、Microsoft365セキュリティエンジニア(リーダー候補)の求人が掲載されています。具体的な業務内容は以下のとおりです。

● 提案活動
● システムインテグレーション
● サービス化・技術検証

ここでも、パブリック・クラウドを活用した新サービスの検討などが事例として挙げられており、セキュリティエンジニアにはクラウドに関する知識や経験が重要視されることがわかります。

その他に、セキュリティエンジニアに求められる知識、スキルとしては、ネットワーク(VPN、無線LANなど)、OS(設定管理、アカウント管理など)、暗号化技術、セキュリティマネジメント(リスク分析、情報セキュリティ監査など)、法律などがあります。サイバー攻撃と防御に関する知識が必要であることはもちろんです。

セキュリティエンジニアにおすすめ国家資格

セキュリティエンジニアになるために、必要な資格はありません。しかし、セキュリティエンジニアには、前述のように幅広い知識とスキルが要求されます。資格を取得しておくことで、知識やスキルを持っている客観的な証明となり、業務を進めるうえでも、転職をする際にも役に立つでしょう。

セキュリティエンジニアにおすすめの資格には、国家資格、ベンダー資格、民間資格の3種があります。ここではふたつの国家資格について解説していきます。

1.情報処理安全確保支援士

セキュリティエンジニアにおすすめの国家資格として、第1に挙げられるのが情報処理安全確保支援士です。略称で「登録セキスペ」と呼ばれることもあります。この資格は、サイバーセキュリティ関連では国内初のもので、2016年に制定されました。脅威が高まりつつあるサイバー攻撃に対する、企業側のサイバーセキュリティ対策の責任者を確保・育成する狙いで創設されています。

独立行政法人情報処理推進機構(IPA)が試験を実施し、試験内容には以下のような、幅広い内容を含みます。

● 情報セキュリティの技術・運用
● 開発管理
● 法的要求事項

情報処理安全確保支援士の対象者は、情報セキュリティの将来的な姿や、規程類の策定に参与する人材です。サイバーセキュリティに関する相談、アドバイスが行え、現状の調査や分析もできる知識が求められます。
2022年10月現在、情報処理安全確保支援士の登録者数は20,744人。試験は毎年春と秋に行われ、2022年度春期の合格率は19.2% でした。

2.情報セキュリティマネジメント試験

携わるフェーズからみた場合の違いは、システムの構想段階から参画するかどうかです。システムエンジニアは開発するシステムが決まった段階から参画します。一方、ITコンサルタントはクライアントの状況から課題を洗い出し、課題に対し「ITの活用で解決できるのか」「どのようなシステムが必要か」といった構想を策定するところから参画します。

必要なスキルからみた違い

IPAが試験を実施するセキュリティエンジニア向け国家資格のうち、入門編に位置付けられるのが情報セキュリティマネジメント試験です。セキュリティ対策についての基本的な知識や、トラブル発生時の緊急対応などに関する知識が問われます。

エンジニアとしてのスキルを認定する試験ではないため、セキュリティエンジニアだけでなく、個人情報を扱う人が多く受験する資格です。前述の情報処理安全確保支援士など、難度の高い試験に挑む前段階として、知識の確認などを目的に受験するのも一案です。

情報セキュリティマネジメント試験も毎年、春と秋に実施されます。2022年春期の合格率は61.2%と、2021年春期の52.4%、同秋期の53.9%と比較して 高率でした。

セキュリティエンジニアにおすすめなベンダー資格

この項では、セキュリティエンジニアを対象とする資格のうち、ベンダーが認定する資格を4種ご紹介します。うち3種はネットワーク機器大手で国際的に展開しているシスコシステムズが実施する「CISCO技術者認定」に含まれます。同認定には、エントリーレベルからエキスパートレベルまで各種の資格があり、自身の知識レベルに合わせて受験できるのが特徴です。

CISCO技術者認定のうち、上位の資格を取得すれば、高い専門性を持つ人材である証明として使えます。国際的に認められている資格であることも、CISCO技術者認定の魅力です。

1.CCNA

CCNAは、CISCO技術者認定の中では難易度が低い、アソシエイトレベルの資格です。以前はSecurity、Cloud、CyberOpsなど8種類に分かれていましたが、2020年に「CCNA」のひとつに統合されました。

CCNAを取得することで、ネットワークに関する基礎知識を持つことが証明されます。業界内でのシェアが高いシスコ製品の扱いに長けていることも、あわせて証明できるでしょう。中途採用のエンジニアを募集する企業が、条件としてCCNAの取得を挙げていることもあります。

試験は、コンピューターを利用したCBT方式での受験です。合格点について、シスコ社からのアナウンスはありませんが、1000点満点中800~900点が目安とされています。同じ会場で同時に受験しても、試験問題は受験者ごとに異なるという特徴があり、問題の難易度などにより合格ラインも変わってくると考えられます。

CCNAの資格は、3年ごとに更新が必要です。更新には同レベルまたは上位の資格に合格しなくてはなりません。

2.CCNP Security

CCNP Securityは、前述のCCNAより難度の高い、プロフェッショナル向けの資格です。3年から5年の、セキュリティソリューション実装経験のあるエンジニアに、受験が推奨されます。セキュリティ面での問題解決に関するスキルを認定する試験で、コア試験とコンセントレーション試験のふたつに合格する必要があります。

コア試験は、サイバーセキュリティの基礎や技術的な問題などが内容で、コンセントレーション試験はインシデント発生時の対応やクラウドのセキュリティなど、複数の専門技術の範囲からひとつを選んで受験するスタイルです。

CCNPはCCNAの上位資格ではありますが、CCNAを取得していなければ受験できないわけではありません。未経験者から受験することも可能です。その場合も、下位資格の知識は持っていることが前提であるため、実務経験がなかったり知識に不安があったりする人は、CCNAの学習を先行させるほうがよいでしょう。

CCNAと同様に、試験はCBT方式で行われます。問題がランダムに出されるのも同じで、回答方法は「複数選択肢から択一」「複数選択肢から複数選ぶ」「複数選択肢からドラッグアンドドロップ」「コマンド入力」の4種に大別されます。コマンド入力の問題は、ネットワークとセキュリティの高度な知識を要求され、解答に時間がかかる可能性があり、時間配分には注意が必要です。

資格の有効期限が3年であることも、CCNAと変わりません。更新には、以下のいずれかの条件を満たす必要があります。

● 上位の資格に合格する
● コア試験に合格する
● コンセントレーション試験の2科目に合格する

3.CCIE Security

CCIE Securityは、CCNP Securityのさらに上位の資格です。エキスパートレベルの、難度が高い試験で、複雑なセキュリティソリューションのスキルがあることの証明として使えます。認定の取得には、コア試験とラボ試験のふたつに合格する必要があります。

● ラボ試験の受験はコア試験合格後18か月以内
● ラボ試験が不合格だった場合は、30日間は再受験不可
● ラボ試験の再受験は、受験日以降12か月以内
● コア試験合格後、3年以内にラボ試験に合格できなければコア試験は無効

合格率や合格者数は明らかにされていませんが、CISCO技術者認定として最上位の資格であり、ネットワークやセキュリティ関連では最難関と言われます。他のCISCO技術者認定と同様、未経験でも受験できますが、受験費用が30万円前後(為替レートによって変動)と高額であることもあり、入念な準備をしてから臨む方がよいでしょう。対応言語が英語だけとなる点も、心得ておく必要があります。

4.OSCP

OSCP(Offensive Security Certified Professional)は、米オフェンシブセキュリティ社が運営する、サイバー攻撃への対応能力を認定する資格です。この試験は、ターゲットとなるシステムの脆弱性を発見し、攻撃して侵入する実技のみである点に、大きな特徴があります。

試験時間は約48時間で、前半の23時間45分で複数のサーバーへの攻撃を行い、後半の24時間で攻撃結果をレポートにまとめます。試験はすべて英語で行われ、100点満点中85点以上が合格です。試験を受けるためには、オフェンシブセキュリティ社によるペネトレーションテスト(サイバー攻撃の技術を駆使してシステム内部への侵入を試みるテスト)の訓練コースを受講する必要があります。

受験資格はとくにないため、未経験でも受験は可能ですが、かなり難度が高い試験であり、現実的ではないでしょう。合格には、基本的なセキュリティの知識はもとより、C言語やPythonなど一通りのプログラミング言語をマスターしておくことが必須です。模範解答がない試験であり、自ら脆弱性の発見や攻撃手法を考え、結果を検証してレポートにまとめる力が求められます。48時間におよぶ長い試験時間だけに、いかに集中力を維持できるかも重要です。

セキュリティエンジニアにおすすめな民間資格

セキュリティエンジニアや、セキュリティエンジニアを目指す人を対象とした資格は多数ありますが、この項では、おすすめの民間資格を5つ取り上げ、解説します。

1.CISSP

セキュリティエンジニア向けの民間資格として、高い評価を得ているもののひとつがCISSP(Certified Information Systems Security Professional)です。安全で安心なサイバー世界の実現に向けて活動する、国際的な非営利会員団体である(ISC)²が運営しています。CISSPは国際的な資格であり、情報セキュリティに関する共通知識分野(CBK)8分野について、広範な知識を持つ人材であることが証明されます。CISSPのCBK8分野は、以下のとおりです。

● セキュリティとリスクマネジメント
● 資産のセキュリティ
● セキュリティアーキテクチャとエンジニアリング
● 通信とネットワークのセキュリティ
● アイデンティティおよびアクセス管理
● セキュリティの評価とテスト
● セキュリティの運用
● ソフトウェア開発セキュリティ

これらは独立した知識として成り立っているのではなく、相互に組み合わせることによって具体的なセキュリティ面での対策や計画立案に役立つようになっています。

CISSPの受験には、セキュリティの専門家として4年以上の実務経験を要します。出題範囲は、前述のCBK8分野です。試験時間は6時間で、250問の選択式問題を解いていきます。合格ラインは1000点満点中700点とされ、合格率は開示されていません。CISCO技術者認定と同様に、資格は3年ごとに再認定を受ける必要があります。

2.SSCP

SSCP(Systems Security Certified Practitioner)は、前述のCISSPと同じく(ISC)²が運営する、情報セキュリティ関連の資格です。情報セキュリティを専門とする仕事に就いていないものの、情報セキュリティの知見を組織としての観点から理解し、セキュリティの専門家や経営陣とコミュニケーションを取れることを目指す人材を認定します。出題範囲は以下の7分野で、4時間の試験時間で150問をCBT方式で解きます。

● セキュリティの運用と管理
● アクセス制御
● リスク特定、モニタリング、分析
● インシデントレスポンスとリカバリ
● 暗号化
● ネットワークと通信のセキュリティ
● システムとアプリケーションセキュリティ

合格ラインは1000点満点中700点です。この資格も、認定期間は3年間です。

3.GSE

GSE(GIAC Security Expert)はSANS Instituteが運営しており、ITセキュリティの世界では権威のある資格のひとつとされています。GSEを取得するには、事前にGSEC(GIAC Security Essentials)、GHIC(GIAC Certified Incident Handler)、GCIA(GIAC Certified Intrusion Analyst)という資格を取得していなければなりません。

前提となる資格のうち、少なくともふたつはGoldレベルであることが要求されます。Goldレベルであるためには、筆記試験に加えてテクニカルレポートを提出し、認定されることが必要で、非常にハードルの高い資格です。

試験は監督付きのオンライン試験と、2日間にわたる実技試験で構成されます。オンライン試験はセキュリティ全般の知識、インシデント発生時の対応、侵入検知と分析などについて問われます。実技試験は、1日目にデータを分析しレポートを提出する形式で、2日目は連続した複数分野の演習形式での実施です。

4.CEH

CEH(Certified Ethical Hacker)は、日本では「認定ホワイトハッカー」と呼ばれる資格です。サイバー攻撃を行う技術を身に付けることで、防御の実践的な方法を学び、より強固なサイバーセキュリティ環境を実現しようとする考えに基づいています。

CEHは、米国防総省の情報システムにアクセスする全スタッフに必須とされる資格であるため、日本よりも海外で高い知名度と評価を得ています。日本でも、経済産業省が「脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる資格」のひとつにCEHを挙げたことで、認知度は高まってきました。

この資格はEC-Council(電子商取引コンサルタント国際評議会)が認定しており、座学だけではなく、実際にサイバー攻撃を仕掛けるトレーニングを行う点が特徴です。2年以上の情報セキュリティ関連の実務経験がない場合は、EC-Councilの用意する有料の公式トレーニングを修了していることが、受験の条件です。公式トレーニングでは、CEHに認定されるために必要な知識が学べるだけでなく、実地での演習もできるため、実務経験がある人にも受講が推奨されています。

CEHは、まだ創設から日が浅い資格で、日本語での情報があまり存在していません。それもあって、難度の高い試験だと言えます。試験時間は4時間で、問題数は125問です。合格ラインは70%以上とされています。

5.CISM

CISM(Certified Information Security Manager)は、情報セキュリティのマネジメントに特化した資格で、情報システムコントロール協会(ISACA)によって創設されました。日本語では「公認情報セキュリティマネージャー」と呼ばれ、セキュリティシステムの設計や監督を行う人材を対象とした、国際的な資格です。

CISM試験は、情報セキュリティマネージャーの実際の業務分析を元に、問題が作成されています。出題範囲は以下のとおりです。

● 情報セキュリティガバナンス
● 情報リスクの管理
● 情報セキュリティプログラムの開発と管理
● 情報セキュリティのインシデントの管理

試験時間は4時間で、150問が出題されます。合格基準点は800点中450点です。CISMとして認定されるには、情報セキュリティ管理の領域で5年以上の実務経験が要求されるほか、ISACAの定めた職業倫理規定を守るなど、所定の条件を満たす必要があります。

まとめ: 資格取得でセキュリティエンジニアとしてステップアップしよう

セキュリティエンジニアになるのに資格は不要ですが、資格があることでスキルの証明になったり、転職活動が有利に行えたりするメリットがあります。本記事で解説したように、セキュリティエンジニア向けの資格には、国家資格、ベンダー資格、民間資格があり、相当数にのぼります。自分に合った資格を探して、それを取得することで、セキュリティエンジニアとしてさらなる飛躍を果たしましょう。

募集職種一覧