はじめに
過去にセキュリティ資格ロードマップについて記載しましたが、先日2年ぶりに更新されていました。
過去に書いた記事については以下をご参照ください。
セキュリティ資格ロードマップ
セキュリティ資格ロードマップは以下にあり、数ある資格を分野ごと、難易度ごとに整理しています。
私が持っているISC2、CompTIA、GIACの資格試験の難易度とこのロードマップの記載を比較してみます。
今回評価するポイントは、分類されているカテゴリが正しいかと、試験難易度が適切かの2点です。
CISSP
まずはセキュリティ資格の代表格であるCISSPです。セキュリティとリスクマネジメントの分野の上位に置かれています。最近は取得者が増え、以前ほどレアではなくなり、相対的に難易度も下がっている気がしないでもないですが、依然としてセキュリティ分野に関わる人であれば持っておきたい資格の1つでしょう。実際にはやや技術寄りの出題も含まれますが、基本的にはマネジメント分野の試験なので、難易度、位置は妥当に思います。
SSCP
主にCISSPに必要な実務経験を満たせない人が受験するSSCPはSecurity+のすぐ上に分類されています。実際にはSecurity Operations寄りの出題も多いですが、カテゴリについては概ね妥当だと思います。
難易度そのものは高くなく、位置は妥当ですが、試験準備のための問題集の少なさを考慮すると受験者視点の体感的な難易度はもう少し上かもしれません。
CASP+とSecurity+
CASP+はCompTIAのセキュリティ資格の中では最上位の資格、Security+は入門向けの資格です。
CASP+試験はCISSPレベルに難しいですが、全体的には技術寄りなので、ロードマップのリスクマネジメント分野に置かれているのは違和感があります。この中であればSecurity Operations側に置く方が自然な気がします。Security+も同じ分野に置かれているため、ロードマップの製作者としてはどちらもリスクマネジメントがメインという判断なのかもしれません。ただしCompTIAが公開している出題範囲を見る限り、Security Operationsの方が適切に思いました。難易度については妥当かと思います。
PenTest+とCySA+
続いてCompTIAのセキュリティ資格のうち、中級レベルの資格2つです。どちらもSecurity Operationsに分類されており適切と思います。難易度はSecurity+より若干上、CASP+よりだいぶ下になっていますが、さすがにもう少し上ではないかと思います。ただ他の資格試験がだいぶ詰まっているので仕方がない部分もありそうです。
GIAC
GIACは多数の資格があるため、3つのカテゴリに分けて評価します。
GSEとGSP
GSEはGXシリーズの試験(公式にはApplied Knowledge Certifications)を4つ、それ以外の試験(公式にはPractitioner Certifications)を6つ合格する必要があります。
GSPはGXシリーズの試験を2つ、それ以外の試験を3つ合格する必要があります。
上記のような特殊な条件であるため、取得した資格によってカテゴリが変わってしまいます。そのためリスクマネジメントだけに分類して良いものではないと思いました。GXシリーズの試験はどれもSecurity Operations分野なので、分類するとすれば、Security Operationsかなと思います。難易度は合格した試験に依存しますが、概ね妥当だと思います。
GXシリーズの資格(公式にはApplied Knowledge Certifications)
このロードマップにあるGXシリーズはGX-FAとGX-PTのみであり、どちらも未受験です。ただカテゴリは問題なさそうです。私が取得済みのGX-IAとGX-CSも同じ難易度であると仮定した場合、この位置は明らかに違和感があります。明らかにGCIHと同じ難易度ではなく、GIMEやGXPNより上に置くべきでしょう。
上記以外の資格(公式にはPractitioner Certifications)
上記以外の資格についてざっと確認し、違和感があったものを記載します。
GCED、GCIHはもっと下でも良い気がします。おそらくスペースの都合でここになってしまったものと思いますが。。正しい難易度はGSECの少し上がGCED、GCIHかと思います。
GREMはさすがに過大評価されすぎかなと思います。GCFAと同じくらいで良いと思います。
それ以外については概ね妥当と思いました。
資格取得の意義
少し前、SNSでは資格取得に意味はあるのか?というような議論が行われていました。これはたびたび繰り返されるテーマであり、明確な答えがあるものではないと思います。ここでは個人的な意見を記載しておきます。
資格取得にはメリットもデメリットもあると思います。それぞれを思いつく範囲で記載してみます。
メリット
転職に有利
書類選考時に高難易度資格を持っていれば加点評価されるのは間違いありません。セキュリティ未経験でも何らかのセキュリティ資格を取得していれば、少なくとも意欲があることは確認できますし、その資格に対応する最低限の知識があることは確認できます。
一方で、資格を持っているだけでは採用されません。当然採用基準を満たすスキルを持っていること、社風にマッチすることなどが面接で確認されます。
逆に言えば、転職をしないのであれば資格は不要ともいえます。昨今は転職が当たり前になりましたが、今の会社が性に合っているという人もいると思いますので、そういう人には不要でしょう。
新しい分野の開拓
例えばこれまで脆弱性診断をやっていた人が今後はフォレンジックをやりたいというような場合、資格取得を通じて基礎を学ぶのは有効だと思います。一部の人を除き、1つの分野だけでキャリアを積むのは難しく、いずれは複数の分野を学ぶことになると思います。そういった場合、最初の入り口として資格取得を目指してみるのは良いと思います。いきなり業務を経験するのも一つの方法ですが、最初は段階的に学ぶ方が身に付きやすいと思います。
逆に言えば1つの分野だけで十分キャリアを積めるとか、他の分野を学ぶ際に独学でも問題ないという人であれば資格取得は不要でしょう
業務で必要
メリットとは若干違いますが、業務上必要に迫られるというケースはあると思います。
セキュリティ分野においては、特定の資格を持っていなければ業務につけないというものはありませんが、会社から取得を求められたり、入札で必要になることは多々あります。こういう場合は取るしかありません。
とはいえ求められる資格のほとんどはCISSPや情報処理安全確保支援士で満たせるかと思います。
逆に言えば会社から取得を求められないのであれば取得は不要です。
勉強方法の1つとして
ITエンジニアは様々な方法で自己学習をしていると思います。自分でアプリケーションを書いたり、サーバを立てたり、ガジェットを触ったり、勉強会に出るなど、様々なことをしている人がいます。私もかつては自宅サーバを楽しんでいた一人ですが、結婚などでどうしても時間を取ることが難しくなりました。
そうなると、限られた時間である程度の満足感を得られる方法を見つける必要があり、私の場合は資格取得でした。
ここでは自宅サーバと資格取得の比較をしてみたいと思います。
| 比較項目 | 資格取得 | 自宅サーバ |
|---|---|---|
| まとまった時間 | 不要 | ある程度必要 |
| 明確な目標 | あり | なし |
| 満足感 | あり | あり |
| 費用負担 | 会社補助の可能性あり | あり&高額 |
| 記録に残るか | 認定証が残る | 最悪サーバが飛んだら何も残らない |
| 妻に怒られる可能性 | 低(実績ゼロ) | 高(騒音、電気代等) |
上記の通り、既婚者にとっては自宅サーバより家計に優しく、妻に怒られる可能性が低いと言えます。
加えて完全に自分のペースで進められますし、場合によっては会社が費用を補助してくれたり、評価してくれる場合もあります。
デメリット
勉強時間が必要
楽に取得できる資格はあまり意味がありません。基本的には勉強が必要でしょう。当然勉強時間が必要になります。少なくとも50時間、難関であれば300時間を超えることもあるでしょう。
お金がかかる
業務命令や会社の補助がない限りお金がかかります。資格によっては10万円を超える負担が発生するかもしれません。
それほど役立たない
これは資格によって多少変わりますが、IT分野において基本的には資格は役に立たないものです。
少し前ならCISSPホルダーは尊敬されましたが、今ではゴロゴロいます。ホルダー限定のイベントがたまにあるのはメリットかもしれません。
情報処理安全確保支援士は残念ながら保持するメリットは皆無です。CompTIA資格は個人的にとても良いと思いますが、知名度が低く、取得することによって何らかのメリットが得られたことはありません。
唯一、GIACについては更新することでトレーニングテキストの最新版がもらえるため、これはメリットと言えるでしょう。400ドル程度の更新料で、本来は1万ドル近くするトレーニングの教材がもらえるというのはお得です。ただ取得と更新に至る労力と時間を考慮すると、市販の書籍を購入して読んだ方が安上がりだと思います。
まとめ
本記事では更新されたセキュリティ資格ロードマップにツッコミを入れつつ、資格取得の意義について考えてみました。
今後の資格取得の参考になれば幸いです。