IT業界団体CompTIAのセキュリティ認定資格 「CompTIA Security+」 セキュリティインシデントの多くは人的エラーに原因がある。だからこそ、基礎知識やスキル、問題意識を確実に身に付ける人材育成が必要だ。実務で活きる資格制度として注目を集めるのが「CompTIA Security+」である。
CompTIA日本支局
シニアコンサルタント
経営とITの融合がますます進んでいる。いわゆる基幹業務システムが企業の屋台骨を支えていることもさることながら、昨今はクラウド、ソーシャル、モバイルといった技術が飛躍的に進歩し、ビジネスをより機動的に進める素地が整いつつあるのは周知の通りだ。
その一方で、企業ITを取り巻く脅威が広がっている事実もある。攻撃の手口は巧妙さを増すばかり。システム構成が複雑になる中で人為的ミスも起こりがちだ。何らかの問題に遭遇した時、企業は甚大なダメージを被ると巷間では騒がれている。
こうした状況に、いかに対処していくか。ツール類で安全対策を講じることは当然として、より重要なのが「人」の問題だ。業務領域や役職に照らし、セキュリティに関わる相応の「知識やスキル」「問題意識」をきちんと体得して日頃の行動に活かす企業風土が根幹となる。
これを具現化する1つの有効策が「資格認定」。I T業界の非営利団体であるCompTIAは今、セキュリティに関する国際的資格「Security+」について、国内企業への周知・啓蒙に力を注いでいる(CompTIAならびに認定資格については下記参照)。
-
CompTIA(コンプティア)
The Computing Technology Industry Association。1982 年、IT 業界の要請から発足した非営利の業界団体。IT に携わる企業や個人の利益を高めるため、「教育」、CompTIA 認定資格での「認定」、IT 業界の声を反映しIT 政策に反映するための「政策支援活動」、IT 業界への「社会貢献」を4 つの柱として活動を続ける。米国シカゴ本部を中心に世界に10 の拠点を持ち、2001 年に日本支局が設立された。 http://www.comptia.jp
-
CompTIA 認定資格
1993 年より提供開始されている「CompTIA A+」をはじめとする認定資格は、業界エキスパートにより開発され、実践力/ 応用力を評価する認定資格として、法人を中心にワールドワイドで150 万人以上に取得されている。「A+」「Network+」「Security+」はISO 17011/17024の認定を取得済み。
「危うきは禁ず」は時代に合わない
CompTIA日本支局
マーケティング&ニュービジネスデベロップメント
シニアマネジャー
ここで、CompTIA 米国本部が2011年末に実施したセキュリティ関連の調査結果を紹介しよう。米国のユーザー企業が主な対象で有効回答数は1183だ。2011年中に何らかのセキュリティインシデントが発生したとの回答は全体の76%。平均すると約7件に相当し、その半数は「深刻なインシデント」だったという。インシデント全体の原因を探ると、53%が「人為的エラー」。一般的に、セキュリティ上の問題発生は技術的な不備だけでなく、人の手違いによるものが少なくないと指摘されるが、それを裏付ける結果となっている。
人のミスは根絶できない。この前提に立ったとき、日本企業はともすると“ 危うきはすべて禁ずる”との手を打ちがちだ。ノートPCの持ち出しは不許可、USB メモリーの接続は厳禁…といった類である。これに対し、CompTIA日本支局の吉村睦美氏は「ITのポテンシャルをみすみす放棄するのは実にもったいない話。何もかも禁止するのではなく、人員の知識レベルや問題意識を一定水準に保って自由度を上げることが結果的に企業競争力に結び付く。世界の趨勢を見ても、その方向に進んでいる」と指摘する。
米国防総省も実務に適用
人的なセキュリティレベルをいかに引き上げ、どうやってそれを見える化するか─。その役割を果たすのが「Security+」である(図参照)。
CompTIA の認定資格は「ベンダーニュートラル」であることが特徴だ。Security+ を例にとれば、IBM、Microsoft、RSA Security、Symantec、VeriSignといったベンダーに加え、FBI(米国連邦捜査局)、ISACA(InformationSystems Audit and Control Association)、ISSA(Information Systems SecurityAssociation)といった組織体が一体となって問題作成に当たっている。
それだけに、Security+には、今本当に必要となる基礎知識が盛り込まれている。こうして点に目を付け、米国防総省では、安全保障に関わる情報にアクセスする実務者を対象にCompTIAの資格取得を義務づけている。「国防総省が求めるフレームワークに合致させるため、CompTIA自体のオペレーションについてISOの当該規格を取得した。結果として、Security+をはじめ、A+(PCクライアント系)、Net work+(ネットワーク系)は生涯認定ではなく3年ごとの更新制に改めている。時代の変化に合わせて、最新のスキルや知識を身に付けられるという点でもメリットは大きい」(板見谷剛史シニアコンサルタント)。
従前、ベンダー各社が独自の認定資格制度を運用している中では、ベースとなる知識やスキルにかなりの共通部分が見られた。それらを業界団体としてのCompTIAの資格に集約したという経緯がある。つまりは、CompTIAの認定資格を取ることは、各ベンダーの現行のそれの基礎学習になるという位置付けにある。
グローバル時代に求められる資格
最近、米国では名刺に「Security+」の資格認定を取得済みであることを明示する人が増えてきているという。自分はセキュリティに関する知見を備えていると共に問題意識も持っているという証にするためだ。「Securit y+ はワールドワイドで通用する資格。ビジネスが今後ますますグローバル化していく中、ビジネスパーソンに不可欠な“世界標準”の資格となるはず」と吉村氏は話す。
日本企業は性善説に立っていることが多いからか、いざ何か起こってから急に慌てるようなケースが散見される。「ビジネスの可用性に重きを置き、企業として体系だったリスク管理体制やセキュリティ対策を確立することが、これからのグローバル企業には欠かせない。その足がかりとしてもSecurity+は有効な枠組みとなるはずだ」(板見谷氏)。