【適宜更新】エントリーレベルの資格（セキュリティ）について

はじめに

2023年現在、エントリーレベルの資格がたくさん出始めてきていて、$(\text{ISC})^2$やEC-Councilなど、多岐に渡りますが、私の知る中で自分の整理も兼ねて書いていきたいと思います。

ここで言うエントリーレベルとは、本当にその分野に初めて関わるとか、上司に全然知らない（前提知識が何もない）分野に関する業務を振られたとか、そのレベルを意識して記載しています。

Who am i ?

しがないエンジニアです。

想定読者

• セキュリティに初めて関わる人
• 新人研修のネタとして資格を活用したいと思っている人
• 自己研鑽として資格を活用したいと思っている人

本題

ここで記載する資格については2、3年くらい前から話題に挙がってきたor新しく作られた資格で、まだまだ世の中に広まっていないものもあります。個人的なオススメ順で記載しています。

$(\text{ISC})^2$認定資格

Certified in Cybersecurity（通称CCと略される）

CCは$(\text{ISC})^2$が最近力を入れて宣伝している資格試験の一つです。
日本では今のところ、認定資格のためのトレーニングというものは開催されていないはずです。（勘違いだったらすいません。）

どうやら日本語でも受験可能になったようです。

私は同じく$(\text{ISC})^{2}$のCISSPを取得しているのですが、CISSPの認定にはエンドースメントという推薦の制度があり認定に５年以上の実務経験が問われるのですが、CCでは実務経験の年数を問われることはないので、比較的取り組みやすい資格試験として知られているようです。

あと余談ですが、最近$(\text{ISC})^2$はISC2に名称変更したようですね。

EC-Council認定資格

Certified Cybersecurity Technician（通称CCTと略される）

CCTは最近EC-Councilからローンチされた資格試験の一つです。

第一印象ですがCNDとの住み分けがいまいちわかりません。CNDの試験範囲とオーバーラップしている所が３割くらいありそうな気がしています、、それだったらCNDでいいじゃんという気がしなくもないです。以下にCNDについての記事を共有します。

ただし、試験について少し気になったことがあります。CCTの試験問題は全60問なのですが、実践的な質問？とMCQという2種類で試験問題が構成されているとのことです。実践的な質問（10問）が一問あたり5点、MCQが一問あたり1点と配点が異なるとのことで、全体の7割ができれば合格点に達するようです。

実践的な質問って何なのですかね。。
なんとなく次に説明するSecurity+を意識している感じを受けました。
これはこれで受験意欲をそそられます。

CompTIA認定試験

Security+

Security+はYouTubeでも広く紹介されている資格試験です。CompTIAの試験は受験や認定のための業務経歴が必要ないため、比較的取り組みやすいと言われています。CC、CCT、Security+の3つの中ではSecurity+が唯一アメリカの「DoD Approved 8570 Baseline Certifications」に含まれています。（2023年6月現在）

私の好きなYouTubeチャンネルでも紹介されていました。

Security+は100～900のスコア形式 750スコア以上とのことですが、パフォーマンスベースの問題も含まれているようです。（配点はわからず。）

情報処理技術者試験

情報セキュリティマネジメント試験 （通称SG）

SGはIPAが認定している日本国の国家資格です。

2023年4月からは、ひとつの試験時間内に科目Ａ試験（旧午前試験）と科目Ｂ試験（旧午後試験）をまとめて実施することになります。その影響で、それぞれの試験における得点ではなく、総合評価点が基準点以上の場合に合格となります。

科目A試験と科目B試験をまとめた総合評価点は、1,000点満点中600点以上で合格です。配点割合はIRTによります。

試験時間は120分です。問題数は60問で、出題割合は科目Ａ試験が48問、科目Ｂ試験が12問となります。

また、情報セキュリティマネジメント試験の出題形式は、多肢選択式です。

日本国の国家資格としてもエントリーレベルのものが出来たのは自分の中で意外なことでした。SGの試験は私も合格していますが、金銭的にもそんなにかからないのでその点も良いかと思います。セキュリティマネジメントの考え方が理解できる良い教材というイメージです。

認定脆弱性診断士

GSX社からローンチされている認定脆弱性診断士という資格があります。これはある種CEHの日本版のようなイメージです。脆弱性診断という意味ではCEHとは厳密には異なるのですが、概ねイメージとしては相違ないかと思います。ただし、CEHはこちらの記事で定義しているエントリー向けの資格ではないです。

脆弱性診断士の講座内容自体は興味をそそられるところが多いのですが、資格取得後の更新が少々面倒というのがデメリットです。というのもクラウドの資格のように３年後に再度試験を受け直して合格しないといけないようなのです。受験料も比較的高額な部類なので少々受験をためらってしまうなぁというのが個人的な感想です。

ですが、「日本の資格であること」と「脆弱性診断にフォーカスをあてた資格であること」というのは、他の資格と比べても優位性が高いものになっているのは事実のようです。２日で脆弱性診断に必要な知識等を詰め込むとのことなので、本当にエントリー向けなのかは少々怪しいかもしれません。

終わりに

「エントリーレベル」と言っても「何をもって」エントリーレベルといっているのかは資格試験でも難しい所です。資格の意義というのを考えるとより勉強が楽しくなるのではないかと思いました。私が紹介した資格の中では、IPAのSG試験は比較的取り組みやすいような印象を受けました。