生成AIの勢いがすごい今だからこそ、セキュリティを学ぼう ～CompTIAのすすめ～

CSAE認定をもらいました

TDCソフト（株）でSEをしている@ankoro_mocchi_mochiです。
このたび目標としていたCSAE（CompTIA Security Analytics EXPART）の認定を貰うことができたので、これからセキュリティを勉強しようと思っている方でCompTIA団体の資格取得に興味がある方の参考になればと思い、投稿しました！！

CompTIAとはどういう団体？

CompTIAは「The Computing Technology Industry Association」の頭文字を取った造語で、日本語ではコンピューティング技術産業協会と訳されます。IT規格の標準化を提言するために設立されました。

1982年の設立以降、特定のハードウェアやソフトウェアベンダーに依存しない「ベンダーニュートラル（Vendor-Neutral）」なIT認定試験を提供しています。全世界において250万人以上の認定保有者がいるとされ、ベンダーニュートラルな認定資格としては最も高い国際的知名度を誇っています。

参考：https://www.tac.biz/special/comptia_2020/
　　：https://udemy.benesse.co.jp/development/what-is-comptia.html

CompTIAが提供するサイバーセキュリティ分野の資格とは

CompTIAのサイバーセキュリティ分野におけるキャリアパスは以下の通りとなっています。
基本的には丸のアイコン単位が認定試験の単位であり、左から右に学んでいき、Security+取得後は下の矢印にあるPentest+　or　CySA+を経由してCASP+（SecurityX）を取得することでサイバーセキュリティ分野における知識、スキルが高水準であることを証明することができます。

CompTIAは細かく知識・技術・経験水準毎に認定試験を分けているため、段階を踏んで学習したい方はもちろん、高度な知識がある方はその水準を難易度によって測ることができます。

▼各認定資格の詳細は公式をご参照ください。
https://www.comptia.org/ja-jp/certifications/#%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC

2026/3/5時点で、CASP+という資格はSecurityXという資格名称に変更されています

※キャリアパスについて：https://comptia.jriit.ac.tz/introducing-comptia-career-pathways
※SecurityXについて：https://www.comptia.org/ja-jp/certifications/securityx/

Stackable Certification制度について

CompTIAにはStackable Certification制度というものがあります。これは、特定の認定試験をすべて取得して初めて認定されるものです。
例えば今回私が目標としていたのは「セキュリティ分野において1人称で解析できるような知識があることを証明」することでしたので、Security+、CySA+、SecurityXの3資格を取得することによって、 CSAE（CompTIA Security Analytics EXPART）の認定バッチを目指した、ということになります。

このように、自分が目標とするエンジニア像に対して、認定資格の組み合わせによって学習することが可能である点でも、まずCompTIAから受験することをお勧めします。

※画像の引用元：https://www.newhorizons.com/resources/blog/what-is-comptia-certification
※Stackable Certificationの詳細：https://www.comptia.org/ja-jp/resources/stackables/

CSAE認定までの歩み

筆者は単に資格取得だけを目的としておらず、知識やスキルの拡充をメインにしていたので、3年計画でじっくり勉強していきました。まず、3年前の勉強する前のスペックは以下の通りです。

■筆者のスペック（勉強開始前の2023年4月当時）
・業界歴は勤続6年。手を動かしての開発は前半3年くらいで、後半3年はプロジェクトマネジメントやアーキテクトなどを担当。
・いわゆるアプリ屋。汎用機の案件から初めて、Entity Frameworkベースのアプリ→struts（terasoluna2.X）系→Vue系のアプリ開発という経歴。
・AWSなどはCloudWatchなどでログを見るくらい。構築経験はなし

■セキュリティを勉強しようと思ったきっかけ
勉強を始めた2023年当時は、コロナ禍による各企業のデジタル化が過渡期を迎える中で、ローコード開発が主流になると騒がれている時期でした。ちょうど、AI投資熱がさらに高まった時期であったと記憶しています。（ちょうどこの辺りでChatGPTが広まり始めましたよね）

このような動向の中で、単純なプログラミング知識やフレームワークの知識だけでは、エンジニアとしての競争力で後塵に拝するという危機感を強く感じたのを覚えています。自分のエンジニアとしての付加価値をどう顧客に提供し続けられるか想像できなかったからです。

そこで自分が顧客の立場になったときに、どれだけ自動でコーディングやテストが行われるようになったとしても、それが社内アプリではなく、ビジネスとして提供するアプリケーションなら、本当にそれがビジネス目標を達成するための品質や信頼性を確保できているのか、またセキュリティ面において脆弱性や考慮不足が本当にないのか、専門家の診断を必ずしてもらったうえでサービスインの判断をするだろうと考えました。

この診断をする際に、フレームワークの知見には自信がありましたが、インフラやセキュリティ面で自信を持ったレポートが今の自分の力ではできないと考え、よし、セキュリティを勉強してみようと思い立ちました。

■受験ペース
・Security+：勉強を開始して3か月目に取得
・CySA+：勉強を開始して8か月目に取得
・Network+：勉強を開始して15か月目に取得
　（CSAEの認定に必要な試験ではないですが、インフラの基礎確認のため取得）
・SecurityX：勉強を開始して21か月目に取得

トータルで約200時間程度勉強したと思います。とはいっても基本は仕事終わりや休日に1時間くらい、受験前にまとめて6時間、みたいな使い方なので、資格取得だけを目的に短期集中で勉強するのであれば、知識水準にもよりますが、100時間あれば十分上記の4資格は取得できると思います。
ある程度私には6年の勤続の中で最低限の知識はあったので、応用情報試験レベルの知識がない方は、200時間以上の勉強緒は覚悟した方がいいかもしれません。

一番難度の高いSecurityXよりも、Security+が一番時間がかかったかもしれません。基礎固めができればあとは分野ごとに知識を深めていくだけなのでそこまで勉強時間はかからないと思います。（私の場合ですが、Security+で100時間程度勉強したと思います）

■勉強方法
基本的には
①Udemyの模擬試験を解く
②正誤に関わらず回答を見て少しでもわからないところは調べる
③Udemyの模擬試験の正解率が90%を超えるようになったらTACの模擬試験で仕上げをする

この流れです。
というよりも、日本の場合はなかなかCompTIA認定試験の対策本みたいなものや、試験のナレッジを公開している投稿も本当に限られているため、基本はこの流れしかないと思います。
よほど自信がある方は③のTACの模擬試験だけでもいい気がします。

試験は、
（１）パフォーマンスベーステスト（PBQ）
（２）選択式（他選択肢問題もある）
の２つの構成になっていて、この（１）だけはどれだけ探してもTACの模擬試験しか対策として有効なものがありませんでした。逆に言えば、TACのパフォーマンスベーステストの模擬試験は、筆者の経験だけでいけばほぼ、同じタイプの問題が本番でも出題されたので、かなり効果的だったと思います。

点数配分が公開されていませんのでパフォーマンスベーステストがどの程度ウェイトを占めるか定かではないのですが、例えばWAFの設定をしたり、ログの中身を読んで脆弱性を特定して適切な設定に変更する、みたいな問題なので、それなりにウエイトは大きいのかなと思っています。

Udemyは結構な頻度でセールをやっていて、大体1200円～1800円くらいでコンテンツを購入することができますが、TACは6800円程度（記載時点）するので、少し二の足を踏んでしまうかもしれませんが、1発合格を狙うのであれば、TACの模擬試験をやった方が間違いないと思います。

まだ、TACはリテイクバウチャー付き（CompTIAの試験不合格時、再試験無料）の模擬試験だと、若干模擬試験が割安で手に入りますし、落ちてもリトライできるという安心感（油断にもなる？）がもてるのでお勧めです。

Udemyの模擬試験：
この方のものが一番いいです。ただ、日本語版はないので注意を。翻訳ツールを使うと変な日本語になることもあるのですが、CompTIAの日本語もたまにおかしい（？）ので、逆にいいかも（筆者の勝手な意見です）
https://www.udemy.com/user/jason-dion/

TAC：
https://www.tac-school.co.jp/index.html

Udemyはセール中に購入することを強く推奨します

■勉強の補足
近年の勉強はChatGPTなどを活用しての学習になると思うのですが、ChatGPTの回答は100%正しいわけではありません。
筆者の場合は全試験共通で下記の本をかなり参考にしました。とても良本だと思います。
模擬試験で分からないところは下記の本で勉強し、プラスアルファで気になったことをChatGPTで深めていく方法で私は勉強を進めました。
・「セキュリティ技術の教科書」（長嶋　仁 (著)）
https://www.amazon.co.jp/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%8A%80%E8%A1%93%E3%81%AE%E6%95%99%E7%A7%91%E6%9B%B8-%E7%AC%AC3%E7%89%88-%E9%95%B7%E5%B6%8B-%E4%BB%81/dp/4865752749

CSAE認定を取得して思うこと

よく資格を取得することに対するネガティブな意見として、業務で結局活かせない、資格のためだけの知識である、みたいなものがありますが、半分は正しく、半分は違うかなっていう感想です。
CompTIAはベンダーニュートラルの試験ですのでAWSやAzureなどを活用したサービスの経験や知識が拡充されることはありません。ただ、「どういったことをやりたいからこのサービスが必要である」という観点であったり、「こういう脆弱性に対しての設定はこうあるべきである」といった、tobeをイメージできるようになったという点では勉強してよかったと思っています。
実際アプリの設計やアーキテクチャを考えるときにどの点を気を付けなければならないかがわかっているということは業務でものすごく活かせていると思います。もちろんまだセキュリティの専門家としての仕事はしていないので、セキュリティをメインに仕事されている方だとまた別の意見になるのかもしれませんが、アプリ開発をメインにしている筆者的には、こうなっていたい！　というビジョンをもって勉強したことで、価値のある時間になったと思います。私は勉強して本当に良かったです。

最後に。。。TDCソフト（株）の魅力のご紹介

今回の受験や教材購入はトータルで25万ほどかかったとおもいますが、すべて会社が出してくれました！
TDCソフトにはVisionaly50という社内制度があり、自己実現のためにかかった自己研鑽の時間は業務として精算できたり、それにかかる受験費用なども手厚くサポートする制度があります。（上限、条件あり）
我々TDCソフトは、頑張った人は会社として応援してくれたり、頑張った分だけしっかり評価してくれる会社です。
もし自分の環境を変えたいと思っている方は、是非当社の取り組みに興味を持っていただけると幸甚です。

TDCホームページ：https://www.tdc.co.jp/