セキュリティを意識した働き方ができていますか？
自身のセキュリティスキルを証明するCompTIA Security+とその学び方について調査！

近年サイバーセキュリティ人材育成が急務となり、国をあげて様々な取り組みや育成がなされています。CompTIA Security+はセキュリティ人材のキャリアにおいて、最初に取得を進めるワールドワイドの認定資格として注目が高まっています。
セキュリティ人材育成の一端を担う弊社では、「「オンライン」セキュリティ研修（CompTIA Security+ 準拠）Web模擬試験付き」を実施しています。研修内で多く取り入れられる演習では、最新技術や環境を取り入れるため「CompTIA CertMaster Labs for Security+」を活用しています。
今回、本資格や最新のバーチャル環境を活用した研修の特徴について、講習会を担当する講師へインタビューした内容を皆様にお届けします。

Security+は、CompTIA資格の一種であることからも技術的な内容がメインになるというイメージがあると思います。現在のSecurity+は、技術職の方の技術的なスキルの証明として有効である事は勿論ですが、それにとどまらず、セキュリティポリシーを策定する・運用するといったビジネススキル的な観点でも、有効な資格となっています。そういったことから、資格の出題範囲はとても広いと認識いただくとよいと思います。

技術的な観点でいうと、CompTIAの場合はベンダーフリーなので、全てのネットワーク機器やサーバーに共通して必要なセキュリティ技術が問われる形になります。MicrosoftやCISCOなどのベンダー試験のように、特定の商品の扱い方やセキュリティ技術に対して細かい手順を問われるわけではなく、セキュリティ技術の基本的な構造がわかっていれば解ける問題がほとんどです。
逆を言えばセキュリティに関わる者として必要なセキュリティ技術の知識やスキルが網羅されているといってよいと思います。それには、ネットワークやサーバーなどの基本的な仕組みの理解も含まれます。

一方、ビジネススキル的観点からの出題内容としては、セキュリティポリシーを策定・運用するにあたってどのような手順で作成をしたらよいか、どのような手法があるのか、どのような団体が標準化した基準を作成しているのかといった内容や、ネットワークやサーバーへの攻撃に対し、公的な団体が色々情報をリリースしていますが、そういった最新事例などから対応策を出題されることもあります。
例えば、察知する前に攻撃されてしまう「ゼロデイ攻撃」がありますが、システム側で防ぎようがない場合に、どのような心構えや対応が必要かといった事なども必須のスキルとして組み込まれています。
セキュリティ技術の基本とビジネススキルやヒューマンスキル的観点の両面を問われることが、Security+の一番の特徴ではないかと思います。

セキュリティポリシーの策定や運用する際には、技術的なバックボーンが必要になってくると思いますが、そういった必要最低限の技術的スキルはSecurity+に網羅されていると捉えてよいと思います。
合わせて、技術面と共にビジネススキルやヒューマンスキル的観点が求められる事は前述の通りです。
昨今では、自社の業務やサービスに対し、セキュリティという仕組みが含まれていることを求められる社会になってきています。セキュリティ事故やその脅威が経営の命取りになることも多いです。

ですので、システム・インフラエンジニアやセキュリティエンジニアという立場だけではなく、セキュリティポリシーを策定する担当者はもとより、経営者やマネージャーなど、セキュリティを確立するためにはどうしたらよいのだろうか、と考える立場の方にSecurity +はとても有効だと考えています。
まず技術を理解することによって、セキュリティ対策や対応を本質的に必要な観点で考えることができます。そうしたロジカルな設定や構造は、社員の理解を促し、セキュリティの意識向上やポリシー順守に繋がっていきます。

研修で提供しているリピートテストやテキストを繰り返し学習することはとても有効だと思います。それ以外に独自の学習方法を少し解説しますと、特に活かすべきは「事例」です。現在多くのセキュリティ事故や事件の事例が公開されています。それらの事例を紐といていく中で、「一体なにが原因でセキュリティ事故が起こってしまったのだろうか」と考察することがおすすめの勉強法です。
例えば「個人情報●●万件流失」のような事故はよく聞かれると思うのですが、内容を細かく調べていくと、原因・リスク・脅威は何か、といったことが明らかになっていきます。事例に対する原因・リスク・脅威などを自分なりに整理していくことで、セキュリティ対策にとってこれが大事、という事が表面化してくると思います。それらをノートなどに整理していくと、様々な事柄に対して重要な点が分かるようになってきます。技術的な学習内容との関連性も見出しやすいです。
ある程度そういった事例に対する整理が自分自身でできてくると、Security+の試験で問われていることの背景もわかり、よく問われる「今行うべき対応策」が自然と見えてきます。
事例から入る学習方法はとても効果的です。

「オンライン」セキュリティ研修（CompTIA Security+ 準拠）では、「CompTIA CertMaster Labs for Security+」を活用しています。セキュリティにおいては、常に技術が最新であることは必要不可欠です。そういった意味からも、全世界で統一された最新技術を活用できるLabsは必須の教材と考えています。
研修の中では、単元において、疑似演習に取り組みます。例えば、技術者が日常的に対応するファイヤーウォールの設定のシミュレーションも用意されています。こういったセキュリティ対策で必須のスキルはLabsを活用して研修内でも実施します。資格対策としてだけではなく、実務でも役立つ内容です。活用に関して操作が複雑な面も若干ありますので、まずは活用方法を解説するようにしています。Labsは、ID発行から1年間は活用が有効ですので、操作方法さえつかめてしまえば、研修後もスキル向上や試験対策として受講者自身で活用いただくことも可能です。実際研修後も活用いただく方が多いようです。

Security+は、研修内容も、資格も難易度高めとは思いますが、資格試験を取得したときの喜びもひとしおと思います。喜びというのは、試験に合格しただけではなく、ある程度の知識が自分にあるということを証明するもしくは今まで勉強をしてきた証になることも含めてです。結果の合否にこだわらずに、まずは勉強した内容を確認、定着をさせるためにも資格にチャレンジしてほしいと考えています。現在、セキュリティ対策や技術が重要視されている背景もありますので、どのような業務、職種についている方でも無駄にはならない内容です。ぜひ、研修ご受講や資格へのチャレンジを検討してほしいと思います。苦手意識がある方、技術的に不安のある方はぜひ研修時にお伝えください。皆様の理解を促し、スキル習得ができるようしっかり解説しています！

CompTIA Security+はCompTIA資格の中でも上位資格のイメージがあり、技術者ではない私にはほど遠い資格だと思っておりました。しかしながら、セキュリティポリシーを策定する担当者や、ポリシーに従って業務に取り組む「私たち」にも有用な資格だと再認識しました。現代社会において、セキュリティは技術者任せではなく、組織に属する一人ひとりが自分事としてとらえられる意識づくりが重要だと思いました。
今後、「「オンライン」セキュリティ研修（CompTIA Security+準拠）Web模擬試験付き」コースが皆様のスキルアップの一助となれば幸いです。

講師：田中 豊彰　氏
茨城県土浦市在住。システム開発、システム技術支援、ネットワーク、セキュリティ設計構築など構築業務を行うと共に教育・講師としても長年の経験を持つ。
担当は新人研修から中堅技術者向け、システム開発、ネットワーク設計、構築、セキュリティ研修など幅広く、人当たりのよい人格から受講者とのコミュニケーションもそつなくこなし、顧客や受講者の評価も高い。

「オンライン」セキュリティ研修（CompTIA Security+ 準拠）Web模擬試験付き