2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Splunkの資格について調べてみた

Last updated at Posted at 2024-01-04

こんにちは。torippy1024です。
splunkに興味を持ったので、資格体系について調べてみました。

splunk資格の一覧(2024年1月時点)

公式サイト(https://www.splunk.com/ja_jp/training/learning-paths-certifications.html )を見ると、splunkの資格には以下があります。

  • Splunk Core Certified User
  • Splunk Core Certified Power User
  • Splunk Core Certified Advanced Power User
  • Splunk Cloud Certified Admin
  • Splunk Enterprise Certified Admin
  • Splunk Enterprise Certified Architect
  • Splunk Core Certified Consultant
  • Splunk Certified Developer(廃止)
  • Splunk Enterprise Security Certified Admin
  • Splunk IT Service Intelligence
  • Splunk SOAR Certified Automation Developer
  • Splunk O11y Cloud Certified Metrics User
  • Splunk Certified Cybersecurity Defense Analyst

多い!!そして名称が何を表しているのかよくわからない!
ということで、私の理解でそれぞれがどういった資格なのか書いてみます。

※2024/1/12 追記
英語版サイト(https://www.splunk.com/en_us/training/learning-paths-certifications.html )を見ると、Splunk O11y Cloud Certified Metrics UserとSplunk Certified Cybersecurity Defense Analystという資格が追加されていましたので、修正し追記しました。

Splunk Coreとは何か

Splunk Coreは、splunkのコア製品です。Splunk Coreの実装がSplunk EnterpriseとSplunk Cloudです。
Splunk Enterpriseはオンプレ版、Splunk Cloudがクラウド(SaaS)版の製品であり、Splunk Coreとは、この2つのコア製品をまとめて指しているようです。

となると、上記の資格について、Splunk Coreと名付けられているものはオンプレ/SaaS両方に適用できるもの、EnterpriseまたはCloudと名付けられているものはそのどちらかの製品に寄った資格であると理解できます。
またSplunk Certified Developerより下の資格は、それぞれに固有の製品/機能に関する資格のようです。

各資格とその概要

どの順序で資格を取得すればよいのか?またどのロールだとどこまで取得すればいいのか?という疑問を持ったので更に調べると、以下のサイトが参考になりそうでした。
https://www.splunk.com/ja_jp/training/certification.html

基本知識として必要

  • Splunk Core Certified User
  • Splunk Core Certified Power User
  • Splunk Core Certified Advanced Power User

Splunk Core(Splunk EnterpriseおよびSplunk Cloud)に対して必要な基礎知識を持っていることを証明するのが上記です。
名前が示す通り、Splunk Core Certified Userが最も初級の資格で、それから段々と上位資格になっていきます。
Splunk Core Certified Advanced Power Userの関連製品がSplunk Cloudだけで、Splunk Enterpriseが含まれていない理由が謎です・・・。(英語版サイトを見ると修正されていたので、ただの誤記のようです)

Splunk Cloudの管理をするために必要

  • Splunk Cloud Certified Admin

SaaSであるSplunk Cloudの管理者として必要な知識を持っていることを証明する資格です。

Splunk Enterpriseの導入・設計・実装をするために必要

  • Splunk Enterprise Certified Architect
  • Splunk Core Certified Consultant

オンプレ版であるSplunk Enterpriseの導入をするアーキテクト/コンサルタントとして必要な知識を持っていることを証明する資格です。
Architectについては、オンプレ環境への導入となるため、Splunk Cloudでは要求されなかった、Splunkを構成するコンポーネントやそれぞれの役割、構成や運用などについて理解する必要があります。
Consultantについては、Coreとなっているので、Splunk Cloud上で大規模な構成とする場合に注意すべき事柄も身につける必要があると思われます。

Splunk Appの開発者となるために必要

  • Splunk Certified Developer(廃止)

SplunkにはSplunk Appと呼ばれる追加機能を導入することができ、そのAppの開発者として必要な知識を持っていることを証明する資格でした。2023年9月に廃止になったそうです。(https://community.splunk.com/t5/Training-Certification-Blog/Splunk-Certified-Developer-Certification-is-Riding-Off-into-the/ba-p/647673 )

Splunk Enterprise Securityの管理をするために必要

  • Splunk Enterprise Security Certified Admin

SplunkのSIEM機能であるSplunk Enterprise Securityの管理者として必要な知識を持っていることを証明する資格です。

Splunk IT Service Intelligence(Splunk ITSI)の管理をするために必要

  • Splunk Enterprise Security Certified Admin

Splunkの追加機能であり、AIOpsを実現するのがSplunk ITSIです。ITSIを導入し、管理するために必要な知識を持っていることを証明する資格です。

Splunk SOARの開発者となるために必要

  • Splunk SOAR Certified Automation Developer

SIEM機能と関連しますが、セキュリティ業務の自動化であるSOAR機能もsplunkは持っています。これら機能の開発者となるための資格です。

Splunk Observability Cloudを利用するために必要

-Splunk O11y Cloud Certified Metrics User

Splunk Observability Cloudを利用するために必要な知識を持っていることを証明する資格です。
実は、Splunk Observability Cloudは、Splunk Coreとは独立している別の製品です。このため本資格の前提条件にはSplunk Core Certified Userの資格などは含まれていません。
(どちらかというと、ObservabilityやAPMといった分野の知識があったほうがよいと思われます)

セキュリティアナリスト(SOCアナリスト)になるために必要

  • Splunk Certified Cybersecurity Defense Analyst

SIEM機能と関連しますが、Splunk Enterprise Securityを使って、サイバーセキュリティ対策・分析をするSOC(Security Operation Center)アナリストとして必要な知識を持っていることを証明する資格です。

各資格の概要

公式サイト(https://www.splunk.com/en_us/training/learning-paths-certifications.html )からの直訳は以下となります。

  • Splunk Core Certified User

    • 最も初級の資格です。Splunk Coreを利用する1ユーザーとして、サーチ、フィールド、ルックアップの使い方、アラートの作成方法、基本的な統計レポートとダッシュボードの作成などが使えることを示せます。
  • Splunk Core Certified Power User

    • Splunk Coreを利用する際、Poer Userに必要な機能を習得していることを示せます。サーチとレポートのコマンドの基本的な使い方、ナレッジオブジェクト、タグ、イベントタイプ、ワークフローアクション、データモデルの作成方法、フィールドのエイリアス、計算フィールド、マクロの使い方や、SplunkプラットフォームでCIM (Common Information Model)を使ったデータ正規化などができることを示せます。
  • Splunk Core Certified Advanced Power User

    • Power Userとして、さらに進んで、複雑なサーチ、レポート、ダッシュボードを作成してデータを最大限に活用する技能を身に付けていることを示せます。具体的には、サーチとレポートの複雑なコマンドの使い方、ナレッジオブジェクトの高度なユースケース、ダッシュボードやフォームを作成するためのベストプラクティスなどです。
  • Splunk Cloud Certified Admin

    • Splunk Cloudの管理者として必要なスキルを学んだことを示す資格です。データ入力、フォワーダーの設定、データ管理、ユーザーアカウントの管理、基本的な監視と問題の切り分けなどができることを示せます。
  • Splunk Enterprise Certified Admin

    • Splunk Enterpriseの管理者として必要なスキルを学んだことを示す資格です。ライセンス管理、インデクサーとサーチヘッドの設定、Splunkプラットフォームへのデータの取り込みと監視などができることを示せます。
  • Splunk Enterprise Certified Architect

    • Splunk Enterpriseの中では最も難関の資格です。アーキテクトとして、Splunkの導入手法と、分散環境の計画、データ収集、サイジングのベストプラクティスを理解していることを示せます。インデクサーとサーチヘッドクラスタリングで構成される標準的な環境の管理とトラブルシューティング方法なども理解している必要があります。
  • Splunk Core Certified Consultant

    • コンサルタントとして、Splunkソフトウェアインスタンスのサイジング、導入、実装を適切に行い、製品の価値を最大限に引き出す使い方をアドバイスができることを示せます。Splunkの導入手法と、Splunkプラットフォームの大規模展開の方法に関する幅広い知識を身に付け。多層構造のSplunkアーキテクチャ、クラスタリング、スケーラビリティについてエキスパートレベルの知識を学ぶ必要があります。
  • Splunk Certified Developer (廃止)

    • Splunk Web Frameworkを使用したAppの作成方法を学んでいることを示せます。ドリルダウンや高度な動作と可視化に関する専門知識と、AppやRESTエンドポイントを計画、作成、パッケージ化する技能を身に付ける必要があります。
  • Splunk Enterprise Security Certified Admin

    • Splunk Enterprise Security環境の管理者として、Splunk Enterprise Securityを適切に導入、設定、管理できるスキルを持っていることを示せます。イベント処理と正規化、導入要件、テクノロジーアドオン、リスク分析の設定、脅威インテリジェンス、プロトコルインテリジェンスの設定、カスタマイズについて学習していることを示せます。
  • Splunk IT Service Intelligence

    • Splunk IT Service Intelligenceでミッションクリティカルなサービスを監視するための知識を深めることができます。導入計画、サービスの設計と実装、重要なイベントの設定、グラステーブルとディープダイブの作成など、Splunk ITSIの導入とアーキテクチャの設定方法を学びます。
  • Splunk SOAR Certified Automation Developer

    • Splunk SOARサーバーの導入、設定、使用方法と、基本的なSOARプレイブックの計画、設計、作成、デバッグ方法を学べます。SOARソリューションの複雑な展開に関する知識や、SOARとSplunkプラットフォームを統合し、独自のコーディングやREST APIが必要なプレイブックを作成する能力を身に付けることができます。
  • Splunk O11y Cloud Certified Metrics User

    • Splunk Observability Cloudの監視を強化できます。ログにとどまらず、開発環境のすべてのレイヤーで大規模なリアルタイム監視を使用できるようになります。この認定パスでは、OpenTelemetry Collector をデプロイして構成し、メトリックを送信し、分析を使用して分析情報を見つけ、メトリックを視覚化し、検出器を使用してアラートを送信し、効率的なダッシュボードを作成する方法について説明できます。
  • Splunk Certified Cybersecurity Defense Analyst

    • Splunkの分析、脅威ハンティング、リスクベースのアラート、業界のベストプラクティスを使用してSOCアナリストとしてスタートできるスキルを身に付けていることを示します。サイバーセキュリティのキャリアをさらに進め、セキュリティアナリストとして継続的な監視のためにサイバー防御ツールを使用できます。この認定パスでは、一般的な種類のサイバー防御システムを使用して脆弱性と脅威を管理しながら、ビジネスを保護し、リスクを軽減する方法を学びます。

資格取得の順序

上記を調べた限りでは、まず(1)Splunk Core Certified User、(2)Power Userを取得し、それから自分のロールに応じて専門資格を選び学習するのがよいと言うことになります。 (2)Splunk Core Certified Power Userは、それより上位のCloud Certified Admin、Enterprise Certified Adminの前提資格でもあります。
(それより上位資格のAdvanced Power Userは他資格の前提になっておらず、かなり専門的になると思われるので必要になった時のみ必要と思います)

無償のトレーニングは多数公開されているようですので、興味を持ったら学習してみるのも良いと思います。
(英語が多いですが・・・・・・)
https://www.splunk.com/ja_jp/training/free-courses/overview.html

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?