こんにちはやまぱんです。
今回 CompTIA Security+(SY0-701)を受けたので簡単に記します。
モチベ
CISSPとCCSPを取ろうと思い、とりあえず、手始めに簡単そうな(?)セキュリティ系の入門資格をとるかーということで受けたのがこちらの資格、 CompTIA Security+(SY0-701)です.
巷にはTACと対策講座を受けて取る人が多いようですが、十分に独学で可能です。
COMPTIAの公式ページ
プロフ
6年前くらい前に情報セキュリティ安全確保支援士を取って以来のセキュリティ系の資格をとりました。
IPAは日本の資格なので、せっかくならグローバルな資格も取得しておこうと思い、CompTIA Security+(SY0-701)を選びました。
普段はセキュリティ専門ではなく、インフラ×クラウド寄りの業務がメインです。
今回の CompTIA Security+(SY0-701) については5〜6時間の短期集中勉強で合格できたので、体系的な復習のつもりで受験しました。
受験料
CompTIA Security+ の 受験料は 50531 ¥(自腹で受けました)
結果
結果は 900円満点中750以上で合格のところ763点でなんとか合格でした。内容自体は難しいものは多くないですが、そこそこの正答率が必要なのと分野・レイヤーも広いなあという印象でした。
感想
IPA の支援士試験に比べて、実務的な内容が多かった、択一式がメインで少しシナリオ問題(簡単なログを見てウイルス侵入の系列を推定するようなもの)がありました
私はほぼノー勉になってしまいましたが、、、wネットワーク系の知見とかあると有利かも?セグメンテーションとか出てきました、サーバーやルーターのログを見る系の問題もありました。
逆に、レッドチーム、ブルーチーム、パープルチーム、ハクティビストとかそういう単語が出て来て、あまり勉強してなかったので必死に思い出したりしながら受験しました。
セキュリティ系の入門系資格としてはとてもよい試験だと思います。
-
レッドチーム
攻撃者役として組織のセキュリティに疑似攻撃を仕掛ける専門チーム。
実際のサイバー攻撃に近い方法で脆弱性を突き、守りの穴を検証する。 -
ブルーチーム
守備側として組織の情報資産を防御・監視・検知・対応する専門チーム。
攻撃の兆候やインシデントに対し、防御策や復旧対応を担う。 -
パープルチーム
レッドとブルーの連携・橋渡し役で、攻防のノウハウを共有し全体最適化するチーム。
攻撃(レッド)と防御(ブルー)の改善サイクルを加速する。 -
ハクティビスト
政治・社会的目的でサイバー攻撃や情報公開活動を行う「活動家ハッカー」。
主義・信念に基づき標的に攻撃・抗議を仕掛けるのが特徴。
AI に聞いた重要キーワード
事前にやればよかったんですが、以下のキーワードがわかってれば大丈夫そうです。
実際にこのあたり出た気がします。
1. 脅威アクター・攻撃者・攻撃タイプ
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| 国家支援型攻撃者 | Nation-state actor | 国家の支援を受けて重大なシステムなどを攻撃する集団。 |
| ハクティビスト | Hacktivist | 社会的主張を目的としたサイバー攻撃者。 |
| 組織犯罪 | Organized crime | 金銭目的で組織的に活動する犯罪集団。 |
| 内部告発者 | Whistleblower | 組織内部の不正を告発する人物。 |
| 未熟な攻撃者 | Unskilled attacker | 技術力の低い攻撃者、スクリプトキディとも。 |
| ブランドなりすまし | Brand impersonation | 有名企業・サービスを装い、信頼を悪用。 |
| タイポスクワッティング | Typosquatting | URLの綴りミス等で偽サイトに誘導する詐欺。 |
| プレテキスティング | Pretexting | 架空の理由やシナリオで機密情報をだまし取る手口。 |
| フィッシング | Phishing | メール等で偽サイトへ誘導し情報を詐取。 |
| スミッシング | Smishing | SMSを使ったフィッシング詐欺。 |
| ヴィッシング | Vishing | 音声通話を利用したフィッシング詐欺。 |
| インパーソネーション | Impersonation | 他人や役職を騙って信頼させる手法。 |
| パスワードスプレー | Password spraying | 多数のアカウントで同じパスワードを試す攻撃。 |
| ブルートフォース | Brute-force | 総当たりでパスワード等を突破する攻撃。 |
| パス・ザ・ハッシュ | Pass-the-hash | ハッシュ値を使った認証突破攻撃。 |
| バッファオーバーフロー | Buffer overflow | メモリ領域を不正操作し攻撃者コードを実行。 |
| サイドローディング | Sideloading | 正規ストア外からアプリを導入するリスクの高い行為。 |
| ジェイルブレイク | Jailbreaking | デバイス制限を解除し非公認アプリを導入。 |
2. セキュリティ技術・対策・管理手法
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| ソルト(塩) | Salting | パスワード等にランダム値を追加しハッシュ化の安全性を高める。 |
| キーストレッチング | Key stretching | ハッシュ処理回数を増やして解読コストを増加。 |
| データマスキング | Data masking | 機密情報の一時的な秘匿(テスト等で利用)。 |
| ステガノグラフィ | Steganography | 画像や音声等にデータを隠す技術。 |
| シングルサインオン | SSO (Single Sign-On) | 1回の認証で複数サービス利用を可能に。 |
| 多要素認証 | MFA (Multi-Factor Authentication) | パスワード+追加要素で認証強度を高める。 |
| 認証プロトコル | LEAP, PEAP | 無線LANやVPNで用いられる認証方式。 |
| フルディスク暗号化 | Full disk encryption | PC全体のデータを暗号化し盗難・紛失時の情報漏えい防止。 |
| WAF | WAF (Web Application Firewall) | Webアプリケーション専用の脅威対策ファイアウォール。 |
| 次世代ファイアウォール | NGFW (Next-Generation Firewall) | アプリ単位制御や脅威分析も可能な高機能FW。 |
| TLS | TLS (Transport Layer Security) | インターネット通信の暗号化標準プロトコル。 |
| SD-WAN | SD-WAN | ソフトウェア制御型の広域ネットワーク。 |
| HSM | HSM (Hardware Security Module) | 暗号鍵管理を専用ハードウェアで実施。 |
3. アクセス制御・ネットワーク・システム管理
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| アクセス制御リスト | Access Control List (ACL) | 通信許可/拒否をIPやポート単位で定義。 |
| ファイアウォール | Firewall | ネットワークの通信制御・監視装置。 |
| DNS | DNS (Domain Name System) | ドメイン名とIPアドレスの変換システム。 |
| ジャンプサーバ | Jump server | 管理アクセス用の中継サーバ、内部NWへの直接接続防止。 |
| バスティオンホスト | Bastion host | 外部管理アクセス専用の中継サーバ。 |
| ロードバランサ | Load balancer | トラフィックを複数サーバへ分散。 |
| プロキシサーバ | Proxy server | 通信の中継・監視・制御を行うサーバ。 |
| RADIUS | RADIUS | 集中認証プロトコル、ネットワーク機器で多用。 |
4. 運用管理・リスクマネジメント・ポリシー
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| 許容リスク | Risk acceptance | リスクを受け入れ対策しないこと。 |
| リスク移転 | Risk transfer | 保険等でリスクを外部委託。 |
| リスク軽減 | Risk mitigation | 対策を講じてリスクを減らす。 |
| リスク回避 | Risk avoidance | そもそもリスクが発生しないよう業務変更。 |
| リスク登録簿 | Risk register | 各リスク・責任者・対応策等を記録・管理するドキュメント。 |
| ポリシー(利用規定等) | Policy (Acceptable Use Policy) | 業務での機器・サービス利用ルールを明文化。 |
| チェンジマネジメント | Change management | システム変更時の手順・記録・承認など管理プロセス。 |
| ルール・オブ・エンゲージメント | Rules of Engagement | ペネトレーションテスト等の合意文書。 |
| サプライチェーン分析 | Supply chain analysis | 部品・サービスの調達先も含めたリスク評価。 |
5. セキュリティ運用・監視・インシデント対応
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| インシデントレスポンス | Incident Response | 事故発生時の対応・復旧手順全般。 |
| デジタルフォレンジック | Digital Forensics | 電子的証拠の収集・調査・分析。 |
| スレットハンティング | Threat Hunting | 潜在的な攻撃・脅威の能動的な調査。 |
| ペネトレーションテスト | Penetration test | 疑似攻撃で脆弱性・リスクを洗い出すテスト。 |
| 証拠保全 | E-discovery | 訴訟等に備えた電子証拠の保存・発見活動。 |
| アプリケーションログ | Application log | アプリケーションの動作・監査記録。 |
| エンドポイント | Endpoint | PCやスマートフォンなど、ネットワークに接続する端末全般。 |
| IPS/IDS | IPS/IDS (Intrusion Prevention/Detection System) | 侵入検知・防御システム。 |
| ロール | Role | システム・業務上の役割や権限。 |
| ゼロトラスト | Zero Trust | 全てのアクセスを信頼せず検証するセキュリティモデル。 |
| DRP(災害復旧計画) | DRP (Disaster Recovery Plan) | 災害発生時の復旧手順や計画。 |
| IRP(インシデント対応計画) | IRP (Incident Response Plan) | セキュリティ事故時の具体的な対応手順。 |
| RPO(目標復旧時点) | RPO (Recovery Point Objective) | 障害時に許容されるデータ損失量の指標。 |
| システム開発ライフサイクル | SDLC (System Development Life Cycle) | システムの計画から廃棄までの一連プロセス。 |
6. チーム・組織構造
| 日本語表記 | 英語表記 | 説明要点 |
|---|---|---|
| レッドチーム | Red Team | 攻撃者視点で脆弱性調査や防御テストを行うチーム。 |
| ブルーチーム | Blue Team | 防御者視点で監視・対応・強化を行うチーム。 |
| パープルチーム | Purple Team | 両者連携・情報共有しセキュリティ強化を図るチーム。 |
今後受けたいセキュリティ系資格
今後挑戦したいセキュリティ資格は以下です。
*参考にCompTIA Security+もいれています。
| 資格名 | 概要・位置付け | 受験料(目安) | 特徴・ターゲット |
|---|---|---|---|
| CompTIA Security+ | 世界標準のセキュリティ入門資格。ベンダーニュートラルで実務基礎もカバー | 約 50,000円 | セキュリティの基礎固め・キャリアスタートに最適 |
| SecurityX | CompTIA最上位(旧CASP+)。実務スキル重視のエキスパート資格 | 約 60,000円 | 技術リーダー/実務責任者。CISSPより“手を動かす”技術系 |
| CISSP | ISC²の世界最高峰。セキュリティマネジメント&設計のグローバル標準資格 | 約 90,000円 | 大規模組織のCISO/管理者/コンサルに最適 |
| CCSP | クラウド時代のセキュリティエキスパート資格 | 約 60,000円 | クラウドセキュリティ設計・運用に携わる人向け |
| 受験料はその都度変わります。 |
各資格の特徴・現場での活用イメージ
CompTIA Security+
セキュリティ職のキャリアパス入口として最適。インフラ/クラウド経験者が体系的にグローバル標準の知識を固めたいときにも◎。現場での基礎用語・設計思想を学べます。
SecurityX
技術面での設計・対応力を証明し、「現場の責任者」「テクニカルリード」として活躍したい方に最適。
クラウド・ゼロトラスト・インシデント対応など最新トピックをカバー。
CISSP
世界で最も認知されるセキュリティ資格。経営層や管理職ポジションでの信頼度が圧倒的。
組織のセキュリティ統括・コンサル・法令遵守・リスク管理までカバー。
CCSP
クラウドセキュリティに特化し、Azure/AWS/GCPなど複数クラウドを横断する知識体系。
今後のクラウド時代に不可欠な実践スキル・設計力を証明。
まとめ
CompTIA Security+(SY0-701)は、セキュリティ分野のグローバル標準を体系的・実践的に学べる最高の入門資格です。
ある程度インフラやクラウド経験がある方なら、短期学習(5~6時間でも!)で十分合格を狙えます。
日本の「IPAの情報安全確保支援士」よりも実務寄りの内容が多く、世界共通の知識体系や用語・トレンドが身につく点も大きな魅力です。出題範囲が広いので「守りのIT」だけでなく、攻撃者視点(レッドチームなど)も最低限は押さえておくとよさそう。
今後は、とりあえず、CISSP、CCSPといった“世界標準”の上位セキュリティ資格にも挑戦し、インフラ×クラウド+セキュリティのトリプルスキルを目指します。