アシックスなどの認定資格導入例を伝えながら、情報セキュリティ人材のニーズやトレンドなどを伝えた。
CompTIAが設定するCSA+(Cybersecurity Analyst+)は、同団体がすでに設定しているサイバーセキュリティ人材のキャリアパス(6段階)の上から2番目に位置する資格。
CSA+を取得することで、ITセキュリティ分析、セキュリティ全体の改善などを実行するスキルを習得でき、「ITセキュリティアナリスト」「セキュリティオペレーションセンターアナリスト」「脆弱性アナリスト」「サイバーセキュリティスペシャリスト」「猛威インテリジェンスアナリスト」「セキュリティエンジニア」といったキャリアでの活躍が期待される。
◆アシックスはSecurity+を導入
こうした認定資格の導入例として、アシックスの事例がある。東京2020オリンピック・パラリンピックのゴールドパートナーである同社は、2015年、海外オフィスで緊急性の高いインシデントが発生。
当時、迅速で的確に対処できなかったことなどから、CSA+の一段下に位置するSecurity+の認定資格を導入。インシデントの重大度を緊急・警告・注意・情報と切り分け、リスクの優先付けや脆弱性管理、不正侵入行為に向けたモニタリングなどを実施するようになった。
アシックスが導入するSecurity+に対し、そのワンランク上のCSA+の認定試験は、どんなレベルか。CompTIAでは、「必須ではないが、Security+の取得を前提」とし、ITセキュリティ分析に必要な「実践的なテクニカルスキル」に焦点をあてているという。
◆実務レベルの解決力が求められるCSA+
来日したCompTIAシニアディレクターの James Stanger 氏は、「出題範囲は、猛威の管理が27%、脆弱性の管理が26%、サイバーインシデントの対応が23%、セキュリティ設計とツールの設定が24%という割合。試験には、実際に起こりうる問題を解いていく力が求められる」と伝えていた。
「米ヤフーの5億人ユーザー情報流出などをはじめ、ランサムウェアやベンダー偽装、DDoS(Distributed Denial of Service)などの攻撃が悪化するいっぽうで、不穏なトレンドとして、ITセキュリティコストが増加している」(James Stanger 氏)
「今回のCSA+は、ゼロックスやキヤノン、デル、リコー、シマンテック、オラクルなど、2200名ちかいセキュリティアナリストやITプロフェッショナルによるレビュー、世界中の企業や団体からのフィードバックを集積し、CSA+を設定」(James Stanger 氏)
「攻撃者がファイアーウォールなどの従来のシグネチャーベースの防御を回避するようになってから、アナリティクスベースのアプローチの重要度が拡大。CSA+は、ITセキュリティ市場に、ビヘイビア(行動)分析を適用した認定資格という位置づけ」(James Stanger 氏)
複雑化・深刻化するサイバー攻撃。セキュリティ分析者の雇用件数も右肩上がりで、James Stanger 氏は「アメリカに限らず、ワールドワイドでセキュリティ分析者の雇用ニーズが高まっている。2012~2015年の間に、雇用総数の伸び率は175%を記録している」とも伝えていた。
