Professional Cloud Security Engineerとは？詳しく解説させていただきます

TOP
コラム
Professional Cloud

Professional Cloud Security Engineerの概要

Professional Cloud Security EngineerはGoogle Cloud Platform(GCP)の認定資格であり、 GCPのセキュリティに関する知識を問う資格です。 Googleの定義によると、Cloud Security Engineerは組織がGoogle Cloudで安全なワークロードとインフラストラクチャを設計して実装できるように支援します。セキュリティに関するベストプラクティスと業界のセキュリティ要件についての知識を活かしながら、 Google のセキュリティ技術を活用して安全なインフラストラクチャを設計、開発、管理します。
Cloud Security Engineerは、IDとアクセスの管理、組織構造とポリシーの定義、Google のデータ保護技術の使用、ネットワークのセキュリティ防御の構成、 Google Cloud のログの収集と分析、インシデント対応の管理、動的な規制に関する考慮事項の適用への理解など、クラウドセキュリティ全般に精通している必要があります。
GCPは、Googleが提供するクラウドコンピューティングサービスとして有名です。企業や個人がクラウドでデータを保存、管理、分析するのに役立つように設計されています。 GCPの主な機能は様々ですが、データを安全に保存する機能、仮想プライベートネットワーク（VPN）を作成する機能、サーバーレスアーキテクチャでウェブサイトまたはアプリを作成する機能など多くのサービスを利用することが可能です。具体的なサービスでいうとGoogle Cloud Storage、BigQuery、ComputeEngine、App Engine、Google Kubernetes Engine、Dataflowなどです。このようなクラウドサービスの背後にある主な概念は、開発者がハードウェア、ソフトウェア、およびメンテナンスのコストを気にすることなくアプリケーションを実行できるようにすることです。GCPはさまざまな方法で使用できます。その1つは、開発者がプロジェクトに取り組み、安全でスケーラブルなアプリを開発するための環境を提供することです。組織はGCPを使用して、独自のクラウドベースのソリューションを作成および実行できます。これにより、IT管理とインフラストラクチャの時間と費用を節約できます。 GCPはクラウドサービスとして上位クラスシェアを誇り、世界中で利用されており、大きく成長してきました。 2006年の単一の製品から、200を超えるサービスと1億を超えるアクティブな顧客を備えたエンタープライズグレードのクラウドコンピューティングプラットフォームに成長し、今後も拡大すると予測されております。

では、GCPの歴史を簡単に振り返ってみましょう。 2006年にGoogleは最初の製品であるAppEngineを発売しました。 2008年にApp Engine 2.0がリリースされ、開発者が一般的に使用できるようになり、 2010年にAppEngineの新しいバージョンであるAppEngine 2.0 Betaをリリースしました。これには、PythonアプリケーションやWebSocketのサポートなど、元のリリースにはないいくつかの機能が含まれています。 2012年にはCloud Datastoreのベータ版をリリースしましたが、これには読み取り操作と書き込み操作の両方で自動フェイルオーバーを備えたマルチマスターレプリケーションのサポートが含まれています。このように成長を続けるクラウドサービスに関する知識を獲得することはクラウドエンジニアにとってProfessional Cloud Security Engineerを取得することは多くのメリットがありますのでおすすめの資格の一つと言えるでしょう。 GCPを使用するメリットは、コストの節約、速度の向上、スケーラビリティの向上、柔軟性の向上など、数多くあります。
クラウドセキュリティは、クラウドコンピューティングを使用するビジネスの重要な側面です。データ損失、不正アクセス、およびセキュリティ違反に対する保護を提供します。クラウドセキュリティの役割は、ハッカーやサイバー犯罪者から会社の情報を保護すると同時に、データの安全性とセキュリティを損なうことなくクラウドコンピューティングのメリットを活用できるようにすることです。 Professional Cloud Security Engineerはいくつかのセクションに分類されております。クラウドソリューション環境内のアクセスの構成、ネットワークセキュリティの構成、データ保護の確保、クラウドソリューション環境内のオペレーションの管理、コンプライアンスの確保に分類されます。出題内容については後程詳しく解説させていただきます。以上が簡単ではありますがProfessional Cloud Security Engineerに関する説明とさせていただきます。

Professional Cloud Security Engineerの試験内容について

Professional Cloud Security Engineerの試験内容について説明させていただきます。すでに説明させていただきました通り、クラウドソリューション環境内のアクセスの構成、ネットワークセキュリティの構成、データ保護の確保、クラウドソリューション環境内のオペレーションの管理、コンプライアンスの確保に分類されます。

まず、クラウドソリューション環境内のアクセスの構成について説明させていただきます。
ここでは、Cloud Identityの管理、Google Cloud Directory Syncの構成、特権管理者アカウントの管理、ユーザーライフサイクル管理プロセスの自動化、プログラムを使用したユーザーアカウントとグループの管理などについて出題されます。サービスアカウントの管理では、サービスアカウントとキーの保護と監査、ユーザーが管理するサービスアカウントキーのローテーションの自動化、サービスアカウントが必要なシナリオの特定、サービスアカウントの作成、承認、保護、 API アクセス管理の安全な管理、有効期間の短い認証情報の管理と作成などについて出題されます。認証管理では、ユーザーアカウント用のパスワードポリシーの作成、 Security Assertion Markup Language（SAML）の構築、 2要素認証プロセスの構成と適用について出題されます。 SAMLというのは、Webサービスに認証および承認サービスを提供するプロトコルです。 SAML検索コンソールトークンオプションは、検索コンソールをSAMLと統合するのに役立つ認証方法です。使用すると、SAMLサービスプロバイダーでユーザーの資格情報を使用してユーザーを認証できます。これは、ユーザーがアプリケーションで検索エンジンを使用するたびにユーザー名とパスワードを入力する必要がないことを意味します。また、2要素認証は、2つの異なる方法を使用してユーザーのIDを確認する方法です。通常、電話、タブレット、コンピューターなどのデバイスで使用されます。 2要素認証が機能する主な方法は3つあります。一点目が対面です。このタイプでは、キーカードやスマートフォンなどの物理デバイスを使用してワンタイムパスワード（OTP）を受信し、ユーザーの身元を確認します。二点目が電話です。この認証プロセスは、ユーザーの身元を確認するために電話でOTPを受信することから始まります。三点目ではテキストメッセージです。認証プロセスは、検証目的でテキストメッセージを介してOTPを受信することから始まります。
サービスアカウントの管理の承認制御を管理、実装では特権ロールと職掌分散の管理、基本ロール、事前定義ロール、カスタムロールによるIAM 権限の管理、異なるタイプの IDに対する権限の付与、Cloud Storage の IAMとACLの違いの確認、組織、フォルダ、プロジェクト、リソースレベルでのIDロールの設計、Access Context Managerの構成について出題されます。 Access Context Managerは、Webサイトに効果的なコンテンツを作成するのに役立つコンテンツ生成ソフトウェアです。検索される可能性が最も高いキーワードとトピックを理解することにより、Webサイトに固有の関連性の高いコンテンツを生成するのに役立ち、高品質のコンテンツを大規模に生成するのに役立ちます。 Access Context Managerは、Webサイトで検索されるキーワードとトピックの周りに適切な量のコンテキストを作成するだけでなく、それらのキーワードやトピックに関するコンテキストに基づいた提案も提供します。 Access Context ManagerはAIベースのツールであり、Webサイト、ブログ、またはアプリに固有のコンテンツを生成するのに役立ちます。キーワードを管理する便利な方法を提供し、使いやすいインターフェイスにより、コンテンツを簡単に作成できます。
リソース階層を定義では、組織の作成と管理、組織、フォルダ、プロジェクト、リソースのリソースポリシーの設計、組織の制約の管理、リソース階層を使用したアクセス制御と権限の継承、Google Cloud プロジェクト内での信頼境界とセキュリティ境界の設計と管理について出題されます。

次に、ネットワークセキュリティの構成について説明させていただきます。ネットワークセキュリティでは、ネットワークの境界制御の構成（ファイアウォールルール、Identity-Aware Proxy（IAP））、ロードバランシングの構成（グローバル、ネットワーク、HTTP(S)、SSL プロキシ、TCP プロキシのロードバランサ）、Domain Name System Security Extensions（DNSSEC）の特定、プライベートアドレスとパブリックアドレスの違いの特定、ウェブアプリケーションファイアウォールの構成（Google Cloud Armor） Cloud DNSの構成について出題されます。ネットワークセキュリティの重要性は増す一方で、コンピューターと他のデバイス間で交換される情報の機密性と整合性を保護するために使用されます。ネットワークセキュリティは、ネットワークを保護するだけでなく、インターネット上の個人情報とプライバシーを保護することも含みます。サイバー脅威から身を守る方法はたくさんありますが、オンラインで安全を維持するための最良の方法の1つは、無料のWi-Fiスキャナーアプリを使用して、どのパブリックWiFiネットワークが安全か安全でないかを通知することなど様々な方法があります。ネットワークセキュリティ計画を立てることには多くの利点があり、サイバー脅威を回避してデータ侵害のリスクを軽減しながら会社の全体的なパフォーマンスを向上させるのに役立ちます。企業ネットワークセキュリティ計画は、企業の情報とシステムを保護する方法を概説することにより、サイバー攻撃から企業の資産を保護するのに役立ちます。また、データ漏えいが発生した場合に効果的に対処する方法を概説することで、データ漏えいを減らすのにも役立ちます。
ネットワークのセグメント化を構成では、 VPC ネットワーク、VPC ピアリング、共有 VPC、ファイアウォールルールのセキュリティ特性の構成、N層アプリケーションを設計する際のネットワークの隔離とデータのカプセル化の構成、アプリ間セキュリティポリシーの構成について出題されます。
プライベート接続を確立では、 RFC1918 に準拠した VPC ネットワークと Google Cloud プロジェクト間のプライベート接続の設計と構成（共有 VPC、VPC ピアリング）、 RFC1918 に準拠したデータセンターと VPC ネットワーク間のプライベート接続の設計と構成（IPsec と Cloud Interconnect）、VPCとGoogle API 間のプライベート接続の確立（限定公開の Google アクセス、オンプレミスホスト用の限定公開の Google アクセス、Private Service Connect） Cloud NATの構成について出題されます。

次に、データ保護の確保について説明させていただきます。センシティブデータを保護では、個人情報（PII）の検査と秘匿化、仮名化の構成、フォーマット保持置換の構成、BigQuery データセットへのアクセスの制限、VPC Service Controls の構成、Secret Managerでのシークレットの保護、コンピューティングインスタンスメタデータの保護と管理について出題されます。保存データの暗号化を管理では、 Googleのデフォルトの暗号化、顧客管理の暗号鍵（CMEK）、顧客指定の暗号鍵（CSEK）、Cloud External Key Manager（EKM）、Cloud HSM のユースケースの確認、 CMEK、CSEK、EKM の暗号鍵の作成と管理、ユースケースへのGoogleの暗号化アプローチの適用、 Cloud Storageのオブジェクトライフサイクルポリシーの構成、 Confidential Computingの有効化について出題されます。
上記以外にクラウドソリューション環境内のオペレーションの管理、コンプライアンスの確保のセクション2つか追加され5つのセクションによって構成されております。以上が簡単ではありますが Professional Cloud Security Engineerの試験内容に関する説明とさせていただきます。

Professional Cloud Security Engineerに関連する資格について

Professional Cloud Security Engineerに関連する資格について説明させていただきます。 一点目が Certificate of Cloud Security Knowledge（CCSK）です。
CCSKはクラウドセキュリティに関連する知識を認定する資格となります。クラウドセキュリティの専門知識の標準として広く認識されており、クラウドでデータを保護する方法について、ベンダーに中立で体系的な知識を提供することができます。 CCSKは特定のベンダーまたは職務に固有の追加のクラウドクレデンシャルを取得するための準備をするための基盤です。取得することで、情報セキュリティの専門家、CEO、部門のマネージャー、技術チーム、営業チームなど幅広い職種においてクラウドセキュリティの業務に役立つための知識を獲得することが可能となります。また、取得クラウドセキュリティの概要を示し、データセキュリティ、キー管理、 IDおよびアクセス管理などの問題に関する重要な洞察を得ることができます。 CCSKでは IAMのベストプラクティス、クラウドインシデント対応、アプリケーションセキュリティ、データ暗号化、SecaaS、新しいテクノロジーの保護など、主要な分野をカバーしており幅広い範囲の知識を獲得し様々な現場において活躍することが可能となります。
CCSKのメリットについて説明させていただくと、その一点目がキャリアアップとなります。クラウド認定プロフェッショナルのスキルギャップを埋めることで、雇用機会を増やすことを実現します。
二点目が体系的な知識を学ぶことができる点となります。クラウドに合わせたコントロールを効果的に使用するための技術的な知識、スキル、能力を示すことができます。
三点目がクラウドガバナンスから技術的なセキュリティ制御の構成まで、幅広い責任を処理する際のセキュリティのベストプラクティスのベースラインを確立する方法を学ぶことができる点となります。 CCSKの対象者ですが、サイバーセキュリティアナリスト、セキュリティエンジニア、セキュリティアーキテクト、エンタープライズアーキテクト、セキュリティ管理者、コンプライアンスマネージャー、セキュリティコンサルタント、システムエンジニアなどの職種が対象となります。企業は、クラウドベースのサービスを使用することを選択するときにとるリスクを認識している必要があります。 CCSKではデータ侵害、データ損失、さらにはセキュリティの欠如など企業担当者にとって重要な知識を学ぶことが可能です。また、クラウドセキュリティにおいて最も一般的なリスクはデータ侵害です。マルウェア、ランサムウェア攻撃、フィッシング詐欺など、さまざまな方法で発生する可能性があります。ハッカーが企業のクラウドシステムに侵入し、許可なくデータを盗んだり、企業のファイルに変更を加えたりする可能性もあります。CCSKを学習することでこれらの対策や基礎的な知識を獲得することができます。

では、CCSKの試験の内容について説明させていただきます。
CCSKでは、「クラウドコンピューティングの概念とアーキテクチャ」「ガバナンスとエンタープライズリスク管理」「法的問題、契約、および電子情報開示」「コンプライアンスと監査の管理」「情報ガバナンス」「管理面とビジネスの継続性」「インフラストラクチャのセキュリティ」「仮想化とコンテナ」「インシデント対応」「アプリケーションセキュリティ」「データのセキュリティと暗号化」「ID、資格、アクセス管理」「サービスとしてのセキュリティ」「関連技術」のドメインから出題されます。それぞれについて簡単に紹介させていただきます。
「クラウドコンピューティングの概念とアーキテクチャ」ではクラウドコンピューティングの基本について学習します。クラウドアーキテクチャは、インターネットを介して仮想化されたリソースとサービスへのアクセスを提供するソフトウェアアーキテクチャの一種です。これにより、企業はインフラストラクチャやITについて心配することなく、コアビジネスに集中できます。クラウドコンピューティングは、データとリソースの管理に関して企業により多くの柔軟性を提供します。また、従来のサーバーベースのアーキテクチャから、集中型サーバーを必要としない分散型アーキテクチャに移行するのにも役立ちます。
「法的問題、契約、および電子情報開示」では、クラウドサービスにおいては法的な責任問題を理解することが重要です。
「コンプライアンスと監査の管理」では、コンプライアンス監査は、法令の遵守を確認するプロセスとなります。組織がコンプライアンス違反に関連するリスクとコストを特定して軽減するのに役立ち、それらを正しく管理することは非常に重要な業務の一つと言えるでしょう。ここではそれらに関する知識を体系的に学習することができます。コンプライアンスソフトウェアは、コンプライアンス監査を実施するための最も一般的なツールです。契約書、ポリシー、およびその他のドキュメントをスキャンして、疑わしい活動や規制違反がないかどうかを確認するために利用することができます。また、ドキュメントをスキャンし、調査結果に関する詳細なレポートを提供します。それだけでなく、コンプライアンス違反から生じる可能性のあるリスクを特定するのにも役立つので効率的に業務を進めるために有効です。コンプライアンスの分野でのAIテクノロジーの使用は、今日最も話題になっているトレンドの1つと言えるでしょう。
「情報ガバナンス」は、組織の情報ワークフローを管理するために使用されるプロセスです。これには、効果的かつ効率的な方法でコンテンツを作成、整理、および共有するために必要なアクティビティが含まれます。このプロセスには、自動化できるワークフローシステムの作成が含まれるため、従業員は自分が最も得意とすることに集中することができ、創造的に考え、生産性を高めることが可能となります。組織が業務をデジタルワークフローに依存するようになるにつれて、情報ガバナンスはますます重要になっています。これにより従業員が創造的または戦略的なタスクに取り組むことができるときに、手動プロセスで時間を無駄にしないようにする必要があります。データガバナンスは、体系的かつ効率的な方法で情報とデータを管理する行為です。データ戦略の作成、ポリシーの作成、およびガバナンス構造の設定などが内包されております。データアクセス管理は、あらゆる組織の重要な部分であり、データを保護するには、データのプライバシーとセキュリティのポリシーを適用することが重要です。また、組織全体のデータへのアクセスを管理することも重要です。規制や組織のポリシーへの準拠を維持するには、組織が簡単に実装および管理できる効果的なデータアクセス管理ポリシーを持っている必要があります。データアクセス管理は、あらゆる組織の重要な部分です。誰がどの種類のデータにアクセスできるか、そしてどのようにそのデータを自分の側で使用できるかを管理することが含まれます。データアクセス管理は、プライバシーとセキュリティに関する会社のポリシーに従って実行する必要があります。
「管理面とビジネスの継続性」で重要な事業継続計画には、主に災害復旧計画と緊急時対応計画の2種類があります。災害復旧計画は、自然災害や予期せぬ事態が発生した場合に使用され、緊急時対応計画は事業活動が中断されないようにするために実施されます。費用対効果の高い事業継続計画を実施するための鍵は、リスクを特定し、それぞれの費用便益分析を作成することです。事業継続計画は、今日のビジネスの世界にとって不可欠です。これらは、企業が業務で発生する可能性のあるあらゆる種類の混乱に迅速かつ効率的に対応するのに役立ちます。事業継続計画の重要性は、過去10年間に発生した最近の一連の自然災害から明らかです。企業はこれらのタイプのイベントに備える必要があります。企業が競争力を維持するには、事業継続計画が不可欠です。事業計画を包括的にするためには、「会社のニーズと目的を決定」「緊急時や災害時に備えておく必要のあるすべての関連情報のチェックリストを作成」「発生する可能性が最も高い災害の種類、その結果、会社が業務を再開できるようになるまでにかかる時間を判断するのに役立つアンケートを作成」「避難経路、緊急時対応計画、および会社の事業活動に関するその他の重要な情報を含む計画を作成」「計画を実行」といったステップを含めることが一般的です。事業継続計画は、組織のサービス継続性を維持するために、リスクと不確実性を特定、評価、および管理するプロセスである点を理解することが大切であり、事業継続計画は、コンピューターやデータセンターのネットワークを備えたあらゆる企業や組織が使用できます。
「インフラストラクチャのセキュリティ」では、インフラストラクチャセキュリティの重要性はいうまでもなく、今後その傾向はさらに強まるとされています。CCSKのみでなく様々な認定資格において、必要な知識となりますので学習しておくといいでしょう。インフラストラクチャセキュリティは、組織のIT資産、ネットワーク、およびアプリケーションを保護するプロセスやそれらの知識を指します。インフラストラクチャセキュリティの目標は、これらの資産や情報への不正アクセスを防ぐことです。
その中でも重要なキーワードをいくつか紹介させていただきます。データセキュリティは、不正アクセス、使用、開示、中断、または破壊からデータを保護するプロセスです。データ侵害はさまざまな方法で発生する可能性があります。サイバーセキュリティは、サイバー攻撃やその他の悪意のある活動からコンピュータネットワークを保護することです。インターネットなどのネットワークを使用して相互に接続されている物理システムと仮想システムの両方を対象としています。また、企業に降りかかる可能性のあるサイバー攻撃には多くの種類があります。フィッシングは攻撃者がリンク付きの電子メールまたはその他のメッセージを送信するソーシャルエンジニアリングの一種です。これは、銀行などの正当なソースからのもののように見えるように設計されていますが、実際には、偽のWebサイトに誘導されます。 DDoSでは分散型サービス拒否攻撃であり、処理できるよりも多くの要求でマシンまたはネットワークリソースを圧倒することにより、マシンまたはネットワークリソースを利用できないようにする試みです。これらの攻撃は、多くの場合、並行して動作する複数の侵害されたシステムを使用して実行されます。インフラストラクチャセキュリティチェーンは、インフラストラクチャを保護するために使用される信頼のデジタルチェーンです。これは、インフラストラクチャへのアクセスを検証および承認するために使用される一連のルールです。インフラストラクチャセキュリティチェーンは、アクセスしようとしているものとアクセスしようとしている方法を特定することにより、デバイス、アプリケーション、およびシステムをネットワークにリンクします。このプロセスは、許可されたデバイスまたはユーザーのみがシステム上の機密情報またはリソースを制御できるようにするのに役立ちます。インフラストラクチャセキュリティチェーンリンクの主な目標は、重要なインフラストラクチャをサイバー攻撃から確実に保護することです。チェーンリンクは、物理的セキュリティ、サイバーセキュリティ、情報セキュリティなど、いくつかの保護層で構成されています。

CCSKのトレーニングは、自分で勉強する方法と準備されたトレーニングを活用する方法があります。自分で学習する際には、無料の準備キットを使用して試験の勉強をします。キットには、サンプルの質問、試験でカバーされるドメインとトピックの概要、およびテストされるすべてのドキュメントが含まれています。サンプルの質問、CCSKを獲得するためのガイド、試験の対象となるトピックの概要、セキュリティガイダンス、クラウドコントロールマトリックス、ENISAのリスク推奨事項へのリンクといった必要な知識を学習することができます。
準備されたトレーニングというのは、ラボを活用する方法です。 CCSK Plusでは、拡張された資料を使用して基礎クラスに基づいて構築されており、教室での指導を強化する広範な実践的なアクティビティを提供します。学生は、架空の組織を安全にクラウドに導入するシナリオに取り組みます。これにより、実際の環境で必要となる一連のアクティビティを実行して、知識を適用する機会が与えられます。このメリットは、クラウドで組織を保護する実践的な経験を積むことができるという点です。また、CSAセキュリティガイダンスv4の14のドメインすべてからの知識を適用することを学び、実践します。以上がCertificate of Cloud Security Knowledge（CCSK）についての説明とさせていただきます。

関連する資格の二点目がCISSP（Certified Information Systems Security Professional）となります。 CISSPは（ISC）²（International Information System Security Certification Consortium）が主催する資格であり、世界的に有名な資格の一つです。（ISC）²は世界最大のITセキュリティ組織です。また信頼性と権威のあるサイバーセキュリティの世界を実現することを目的とした国際的な非営利団体としても知られております。 CISSPの学習を行うことで、Professional Cloud Security Engineerを取得することに役立ちます。何故かというと、CISSPのドメインが Professional Cloud Security Engineerと類似しているからです。 CISSPは「セキュリティとリスクマネジメント」「資産のセキュリティ」「アイデンティティとアクセス管理」「ソフトウェア開発セキュリティ」「セキュリティアーキテクチャとエンジニアリング」「通信とネットワークセキュリティ」「セキュリティの運用」「セキュリティの評価とテスト」から構成されておりますので、それぞれ紹介いたします。
「セキュリティとリスクマネジメント」に重要な点がセキュリティプロフェッショナルとしての倫理観となります。情報セキュリティの専門家は多くの機密情報に触れる機会があり、その扱いに対して常に公正であることが非常に大切です。情報セキュリティの専門家は、情報の扱いについて組織が実現しようとする目的を正しく理解しアドバイスを行う必要があり、それらは情報セキュリティの正しい知識や姿勢に基づいて判断が行われる必要がある点について理解しなくてはいけませんが、これらの知識について体系的に学ぶことができます。
次に、「資産のセキュリティ」について説明させていただきます。情報と資産に関する正しい知識を理解することは情報セキュリティの専門家として非常に重要です。 CISSPにおけるセキュリティの専門的な知識を獲得するためには、ライフサイクルに従い取り扱い要件を理解する必要があります。情報分類にともなうラベリングの実践や法的な要求に伴う暗号化や廃棄手法などの要件を評価、ポリシーや管理手順を策定できる知識とスキルも重要となります。 CISSPでは「情報と資産を特定し、分類する」「情報と資産の取り扱い要件を確立する」「リソースを安全にプロビジョニングする」「データライフサイクルを管理する」といった項目ごとに問題が出題されます。
次に、「アイデンティティとアクセス管理」について説明させていただきます。これらの知識は高度化する情報化社会において非常に重要な知識であり、あらゆるビジネスにおいて重要な知識と言えます。アクセス管理は、情報やその他のリソースへのアクセスを保護する体系的なプロセスで、データ、システム、アプリケーション、またはコンテンツへのアクセスを制御するために必要であり、データの機密性、整合性、および可用性を保護するために重要です。アクセス管理戦略は、エンタープライズセキュリティポリシーの実装にも使用され、組織がサーベンスオクスリー法（SOX）、グラムリーチブライリー法（GLBA）、ペイメントカード業界データセキュリティ標準（PCI DSS）、医療保険の相互運用性と説明責任に関する法律（HIPAA）などの規制要件への準拠を維持するのに役立つ知識として知られております。「アイデンティティとアクセス管理」では「資産への物理的および論理的アクセスを制御する」「人、デバイス、サービスの特定および識別を管理する」「認証システムを実装する」「認可の仕組みを実装し管理する」「アイデンティティおよびアクセスプロビジョニングのライフサイクルを管理する」「サードパーティのサービスとしてアイデンティティを統合する」といった項目に分類され出題されます。
次に、「ソフトウェア開発セキュリティ」について説明させていただきます。ソフトウェアのセキュリティは、すべてのソフトウェア開発者が考慮しなければならない懸念事項です。ソフトウェアセキュリティの意味と、それが開発にどのように関係しているかを明確に理解することが重要です。コードを保護できない場合、それを信頼することはできません。これは、機能と効率の点で製品のパフォーマンスに影響を与えます。また、ソフトウェア開発の概要の理解、正しい開発チームの役割や責任、システムライフサイクルにおける活動を適切に理解することなどの正しい知識を身につけることができます。
次に、「セキュリティアーキテクチャとエンジニアリング」について説明させていただきます。ここでは、セキュリティ計画に必要な原則の理解と、それを実践するための技術的な知識やスキルについて出題されます。
CCSKのドメインは「クラウドコンピューティングの概念とアーキテクチャ」「ガバナンスとエンタープライズリスク管理」「法的問題、契約、および電子情報開示」「コンプライアンスと監査の管理」「情報ガバナンス」「管理面とビジネスの継続性」「インフラストラクチャのセキュリティ」「仮想化とコンテナ」「インシデント対応」「アプリケーションセキュリティ」「データのセキュリティと暗号化」「ID、資格、アクセス管理」「サービスとしてのセキュリティ」「関連技術」でありますので、その類似性について理解していただくことができるのではないでしょうか。

関連する資格の三点目がCCSP(Certified Cloud Security Professional)です。 CCSPもCISSPと同様、（ISC）²が主催する資格でありクラウドに関連する資格となります。 CCSPは125問（日本語・英語併記）、四者択一、3時間で実施されます。対象の職業は、「エンタープライズアーキテクト」「情報セキュリティ管理者」「情報セキュリティアーキテクト」「情報セキュリティコンサルタント」「情報セキュリティエンジニア」「情報セキュリティマネジャー」「システムアーキテクト」「システムエンジニア」となります。
CCSPの出題範囲は、「クラウドの概念、アーキテクチャ、設計」「クラウドデータセキュリティ」「クラウドプラットフォームとインフラストラクチャセキュリティ」「クラウドアプリケーションセキュリティ」「クラウドセキュリティオペレーション」「クラウドガバナンス-法務、リスク、コンプライアンス」の6つとなります。以上が簡単ですがCCSPの説明とさせていただきます。

関連する資格の三点目が、SSCP(Systems Security Certified Practitioner)です。これも（ISC）²が主催する資格であり、世界的に信頼性の高い資格です。 SSCPは、ベンダーフリー・カントリーフリーの情報セキュリティの資格で、対象者は、情報セキュリティを専業としているエンジニア以外でも、ビジネス上の情報セキュリティを理解し業務に活用する意思のあるエンジニアなど幅広い領域が設定されております。（ISC）²ではSSCPを、「通常は情報セキュリティを専業としていないけれども、情報セキュリティの知見を技術としての観点だけではなく、『組織』という観点から理解し、情報セキュリティ専門家や経営陣とコミュニケーションを図れることを目指している人材を認定当然情報セキュリティ専業で経験年数が少ない方にとっても、より実践に近い内容をグローバルの標準に則った内容で理解していることを証明する資格」と定義しております。 SSCPは（ISC）²の発行する資格の中では難易度が低く若手向けの資格のため、しっかりと学習を行えば実務経験の浅いエンジニアでも合格水準に達することは難しくありません。
SSCPは、「アクセス制御」「セキュリティオペレーションと管理」「リスクの特定、モニタリングと分析」「インシデントレスポンスとリカバリ」「暗号」「ネットワークと通信のセキュリティ」「システムとアプリケーションセキュリティ」の7つの分野から構成されております。一つ一つの分野の専門性はそこまで高くありませんので、（ISC）²の参考書やトレーニングなどを実施することで比較的簡単に理解することができるでしょう。その一方で満遍なく出題されるため知識に穴がないように準備する必要があります。 CBT形式で実施され、180分の受験時間で合格ラインは70%となります。以上が簡単ではありますがSSCPに関する説明とさせていただきます。

まとめ

いかがでしたでしょうか？ Professional Cloud Security Engineerについて詳しく解説させていただきましたので、参考にしてみてください。