1. はじめに
はじめまして。株式会社NTTデータ九州 ビジネス共創部の溝部です。
私のラインでは、増加の一途をたどるランサムウェア被害や情報漏洩事故に対して、ゼロトラストネットワークなどの最新のサイバーセキュリティ技術を活用したセキュリティビジネスを展開しています。
この領域においては、日々技術が進歩(攻撃側・防御側ともに)しており、私たちも常に知識・技術のアップデートが求められています。
そうした中で、今回自身のセキュリティ分野の技術・知識の再確認とアップデートを目的として、CompTIA Security+(以下、Security+) 資格を受験・合格しましたので、受講した研修や実際に受験してみた感想などを体験記として紹介したいと思います。
2. CompTIA Security+ とは
CompTIA とは?
CompTIA(Computing Technology Industry Association) は、1982年に米国シカゴで設立されたベンダーニュートラルなIT業界団体です。世界中のITプロフェッショナルに向けて、標準化されたスキル評価と認定資格を提供しています。CompTIAは、IT業界の技術標準化を推進し、教育機関や企業と連携して次世代の人材育成に取り組んでいます。
出典:https://www.comptia.jp/about/comptia_about/
出典:https://www.comptia.org/ja-jp/about-us/
CompTIA認定資格の体系
CompTIAの資格は、以下の5つのキャリアパスに分類されており、初心者から上級者まで段階的にスキルを習得できるよう設計されています。
| キャリアパス | 主な資格 |
|---|---|
| CORE(基礎) | IT Fundamentals, A+, Network+, Security+ |
| INFRASTRUCTURE(インフラ) | Cloud+, Linux+, Server+ |
| CYBERSECURITY(セキュリティ) | CySA+, PenTest+, CASP+ |
| DATA AND ANALYTICS(データ分析) | Data+, DataSys+, DataX |
| ADDITIONAL PROFESSIONAL(補完スキル) | Project+, Cloud Essentials+, CTT+ |
出典:https://www.comptia.jp/certif/comptia_certification/
Security+ とは?
Security+ は、情報セキュリティ分野の基礎スキルを証明する国際認定資格です。セキュリティエンジニアやIT管理者が、ネットワークの保護、脅威の検出、データの保護などを行うために必要な知識とスキルを評価します。
この資格は、以下のような特徴を持っています:
- ベンダーニュートラル:特定の製品や技術に依存せず、汎用的なセキュリティスキルを評価
- 実践的な試験形式:選択問題だけでなく、シミュレーション形式の「パフォーマンスベーステスト」も含まれる
- ISO/ANSI認定:国際的な品質基準に準拠しており、米国国防総省(DoD)にも認定されている
- 有効期限:取得後3年間。継続教育(CE)による更新が可能
出典:https://www.comptia.jp/certif/core/comptia_security/
対象スキルと試験範囲(SY0-701)
Security+試験では、以下の5つの分野にわたる知識が問われます:
- セキュリティコンセプトの概要(12%)
- 脅威、脆弱性、軽減策(22%)
- セキュリティアーキテクチャ(18%)
- セキュリティオペレーション(28%)
- セキュリティプログラムの管理と監督(20%)
試験は最大90問、制限時間90分、スコア形式(100~900点)で750点以上が合格ラインです。
3. 研修受講
今回の資格取得に向けては、Top Out Human Capitalさんが提供されているCompTIAの公式カリキュラムに基づいたトレーニングコースを受講しました。
実際の公式カリキュラムでは5日間のトレーニング内容を3日間に凝縮しているため、進行スピードは非常に速い一方で、内容的にはポイントをしっかり押さえた密度の高い充実した内容でした。
Top Out Human Capitalさんでは、定期的に九州オープンコースという形で九州オンサイト会場でのトレーニングを開講してくださっているので、近県エリアの方でご関心があれば活用をご検討ください。
4. 試験の概要
Security+ 試験は、選択式およびパフォーマンスベースの問題で構成されています。
- 試験形式:パフォーマンスベーステスト+単一/複数選択式
- 試験時間:90分
- 合格基準:750点/950点満点
試験範囲は非常に幅広く、あらゆる分野から万遍なく出題される印象です。基本的には選択式の問題ですが、
- 「最も適切なものを選択」:複数該当する選択肢があるが、ベストな回答を選択する必要あり
- 「該当する項目をすべて選択」:正解をすべて選択(しかも、いくつ正解があるかは不明)
といった形式も含まれており、単純な消去法では判断できない問題も多く、ある程度の考慮時間が必要になります。
私の場合は回答完了までに約70分を要しました。
結果としては、800点弱の得点でなんとか合格することができました。
ただし、セキュリティビジネスに関わるエンジニアとしては、より高いスコアを目指すべきと感じており、今後の復習と知識の定着にしっかり取り組んでいきたいと考えています。
パフォーマンスベーステスト(PBQ)とは?
Security+ 試験では、従来の選択式問題に加えて、パフォーマンスベーステスト(Performance-Based Questions:PBQ)が出題されます。PBQは、実際の業務に近いシナリオに基づいて、受験者の実践的なスキルを評価する形式です。
特徴
- シミュレーション形式:仮想環境上でファイアウォールの設定、ログ解析、アクセス制御の構成などを行う
- 知識+応用力の評価:単なる暗記ではなく、状況に応じた判断力や操作スキルが問われる
- 試験開始直後に出題されることが多い:時間配分に注意が必要
出題例(イメージ)
- ネットワーク図を見ながら、セキュリティポリシーに基づいてファイアウォールルールを設定する
- ログファイルを分析し、不審なアクセスを特定する
- ユーザー権限の設定ミスを修正する
サンプル問題・体験リンク
5. 今後の展望
前述のように、合格はしたものの満足できる結果とは考えていないため、引き続き自己研鑽・自己啓発に努めていきます。
今後は、さらに上位資格である CySA+ や CASP+ への挑戦も視野に入れています。
また、EC-Council や ISC2 などの他団体が提供する高度資格にも挑戦し、セキュリティエンジニアとしてのプレゼンス向上につなげていきたいと考えています。
6. 執筆日・免責事項
※本記事は2025年10月時点の情報に基づいて執筆しています。内容は今後変更される可能性がありますので、最新情報は公式サイトをご確認ください。