支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡

  • TOP
  •   
  • コラム
  •   
  • CASP+とは?詳しく解説します

CASP+の概要について

ここでは、CompTIA Advanced Security Practitioner (CASP+)について詳しく解説させていただきます。 CASP+はCompTIA(The Computing Technology Industry Association)が主催するITエンジニア向けの資格の一つとなります。 CompTIAは1982年に設立され、ベンダーニュートラルなIT関連資格・認定などを行っているIT業界団体です。 CASP+はEDIが様々な規格で利用され情報が飛び交う中、ISOやIEEEに対し標準化を提言するため、各社が集まる場として1982年に設立された組織です。その後も規格標準化の提言を中心に、リサーチ、CompTIA認定資格の認定など、IT業界と中央機関や教育機関との橋渡し役として活動していることで知られております。 CompTIAの活動として最もエンジニアに知られているものの一つが認定資格となります。 CompTIAはCASP+の他にも「CompTIA A+」「CompTIA Network+」「CompTIA Security+」 「CompTIA Cybersecurity Analyst」「CompTIA Pentest+」「CompTIA Cloud+」 「CompTIA Server+」「CompTIA Project+」「CompTIA CTT+」 「CompTIA Linux+ Powered by LPI」など多くの資格認定を主催しており、 その認定資格は世界的な信頼性と権威があることで知られております。 CompTIAの中でも非常に知名度の高い資格の一つがCompTIA A+でITエンジニアとしてエントリークラスの資格として非常に有名です。 新たにIT業界での仕事に就く際も、CompTIA A+の取得により、さらに高いキャリアを目指すことが可能となります。 また、既にIT業界で活躍されている方でも、CompTIA A+により、自身のスキルを再検証することにより、より一層高いキャリアを獲得することを可能とします。 日本だけでなく世界的に有名な認定資格の一つとなりますので、これからITスキルを身につけてグローバルな活躍をしたい方にはぴったりの資格と言えます。 さらに、CompTIA Security+も非常に重要な資格の一つです。 CompTIA Security+はセキュリティエンジニアとしてのスタートに最も適した資格の一つと言えるでしょう。 CompTIA Security+はべンダーニュートラルで、業務上必要とされるセキュリティスキルが網羅された認定資格のため、世界中の企業/組織、セキュリティプロフェッショナルに活用されていることが その特徴となります。 CompTIA Security+は米国国防総省指令 8570.01(DoD Directive 8570.01)により承認された認定資格であることから多くの企業や防衛関連の組織で活用されており、 セキュリティエンジニアとしての能力やスキルを証明しキャリアアップに貢献するため、取得者は非常に増加しております。 パフォーマンスベースド試験を含む認定資格試験により、実践的なスキルを適切に評価します。セキュリティスキルのベースとなるCompTIA Security+を取得することで、 今日発生しているさまざまな複雑な問題を解決するための準備が整っていることを証明します。 CompTIA Security+で習得できるスキルは、システム、ソフトウェア、ハードウェアを保護するためにも必要となるため、より多くの職務でこれらのスキルの育成が行われています。 リスク評価と管理、インシデントレスポンス、フォレンジック、エンタープライズネットワーク、ハイブリッド/クラウドの運用、セキュリティコントロールなどの分野で、最新のトレンドと手法を反映し、実業務で活用することができます。 CompTIAの認定資格の特徴として、特にグローバルに活躍するエンジニアや高い信頼性や専門性の求められる期間で働くエンジニアやプロフェッショナルに非常に重要な役割を担っております。 以上がCompTIAの資格に関する簡単な説明となります。

話をCASP+に戻します。 本文で紹介させていただくCASP+もCompTIAの主催する資格で最も重要なものの一つであることは間違いありません。 CASP+は上級レベルのセキュリティプロフェッショナルに求められるスキルを評価するグローバルなベンダーニュートラルの認定資格です。昨今ではセキュリティエンジニアの需要は高まる一方であり、 セキュリティに関する専門的な知識やスキルを第三者に証明するための資格はエンジニアの価値を高め、多くの企業や組織なら求められております。CASP+はその中でも国際標準化機構(ISO)および米国規格協会(ANSI)より認定を受けており、エンタープライズセキュリティ、リスクマネジメント、調査と分析、システム統合、コミュニケーション、企業でのセキュリティ規則やコンプライアンスなどの幅広いセキュリティへのスキルを証明することが 可能であり、非常に権威性の高い資格の一つと言えるでしょう。 セキュリティエンジニアのプロフェッショナルを目指すのであれば是非CASP+を取得しておきたいところです。

さて、CASP+の対象者について説明させていただきます。 CASP+の対象者はIT管理分野で、少なくとも10年の実務経験(少なくとも5年の技術的セキュリティ実務経験を含む)もしくはCompTIAの主催するCompTIA Network+、 Security+、 CySA+ 認定資格、または同等の知識を保有する方となります。 CASP+はレジリエント企業を支援するため、複雑な環境全般にわたってのセキュアソリューションの概念化、設計、統合および実行することや提案するセキュリティ方針の広範な範囲にわたるクリティカルシンキング/判断の適用、組織的ストラテジーの計画をたてる継続的なセキュリティソリューションの実行とサポート、ビジネス要件または規制要件とセキュリティ要件とのバランス、リスクによる影響の分析、セキュリティインシデントへの対応などが可能なプロフェッショナルとしての知識が問われます。 CASP+の試験範囲についてはリスクマネジメント、エンタープライズ・セキュリティ・アーキテクチャ、エンタープライズ・セキュリティ・オペレーション、エンタープライズ・セキュリティにおける技術統合、 調査、開発およびコラボレーションの5つの分野から出題されます。

以上が簡単ではありますがCASP+に関する概要となります。 それではさらに詳しくCASP+について解説させていただきますので、 参考にしてみてください。

CASP+試験の内容について

CASP+試験の内容について説明させていただきます。 CASP+は問題数最大90問、単一/複数選択、シミュレーション、165分で実施されますが、合格もしくは不合格の記載のみで各分野の得点などが明らかにされません。不合格になった場合どの部分のスコアが足りなかったかという点がわからないため、学習方法や対策には注意が必要となります。

CASP+の試験範囲についてはリスクマネジメント、エンタープライズ・セキュリティ・アーキテクチャ、エンタープライズ・セキュリティ・オペレーション、エンタープラのイズ・セキュリティにおける技術統合、 調査、開発およびコラボレーションの5つの分野から出題されます。
CASP+の「リスクマネジメント」の出題比率は19%、内容は以下の通りとなります。 ビジネスおよび業界の影響やそれに関連する セキュリティリスクの概要を要約することができることや、組織の要件に基づくセキュリティ、プライバ シーポリシー、手順を比較対照すること、与えられたシナリオに基づいて、リスク緩和戦 略とこれらを実行すること、リスクの測定項目設定を分析し、企業のセキュリティ保護を実施することなどの 知識が問われます。
「エンタープライズ・セキュリティ・ アーキテクチャ」の出題比率は25%、内容は以下のようになります。 設定を分析し、セキュリティ要件に合うようにネットワークやセキュ リティ要素、コンセプトやアーキテクチャを導入すること、 設定の分析、セキュリティ要件に合うようにホスト デバイスにセキュリティ管理策を導入すること、設定の分析、セキュリティ要件に合うモバイル・デバイスやスモール・フォームファクタ・デバイス向けセキュリティ管理策を導入するこ と、与えられたソフトウェア脆弱性に関するシナリオに基づ き、適切なセキュリティ管理策を選択することができることといった知識が問われます。
「エンタープライズ・セキュリティ・ オペレーション」の出題比率は20%、内容は以下のようになります。 与えられたシナリオに基づき、適切な方法を使用した セキュリティ状態の評価を実施すること、設定や調査結果に基づき、セキュリティアセスメント のために適切な手段を選択すること、与えられたシナリオに基づいて、インシデント対応 および復帰手順を実行することといった知識が問われます。
「エンタープライズ・ セキュリティにおける技術統合」の出題比率は23%、内容は以下の通りとなります。 与えられたシナリオに基づいて、ホスト、ストレージ、ネットワークや アプリケーションをエンタープライズアーキテクチャにセキュアに統 合することができる、与えられたシナリオに基づいて、クラウドや仮想化技術をエンター プライズアーキテクチャにセキュアに統合することができること、 与えられたシナリオに基づいて、エンタープライズセキュリティの目的 に沿うように高度な認証認可のテクノロジーを導入、トラブルシューテ ィングすることができる、与えられたシナリオに基づいて、暗号化テクノロジーを実装するこ とができる、与えられたシナリオに基づいて、セキュアなコミュニケーションやコラ ボレーションソリューションを導入するための適切な保護策を選択する ことができるといった知識が問われます。
「調査、開発およびコラボレーション」の出題比率は23%、内容は以下の通りとなります。 与えられたシナリオに基づいて、業界のトレンドや企業へのインパクトを実施し、適切な調査手法を用いることができること、与えられたシナリオに基づいて、技術的なライフサイクル全体 にわたる、セキュリティ保護活動を実行すること、セキュリティ目標を達成する多種多様なビジネスユニットと の相互作用の重要性に関する説明をすることができることといった知識が問われます。
以上がCASP+試験の内容に関する説明となります。 すでに本文で説明させていただきましたように、試験の合否は結果のみアナウンスされる形となります。 そのため、試験内容をしっかりと確認して知識に穴がないように準備をしておく必要があります。

CASP+の学習方法について

CASP+の学習方法について説明させていただきます。 学習方法は複数ありますが、基本となるのは参考書を読み進め試験対策を行う方法となります。 CompTIAが推奨する公式参考書である「The Official CompTIA CASP+ Self-Paced Study Guide」を購入し学習を行うといいでしょう。 「The Official CompTIA CASP+ Self-Paced Study Guide」は CASP+に必要な全ての知識が網羅されており、 「リスクマネジメントに重点を置いた企業のITガバナンスのサポート」 「コラボレーションツールとテクノロジーを活用した際の企業のセキュリティ管理」 「調査と分析を活用した企業のセキュリティ管理」「高度な認証/承認テクノロジーの統合」 「暗号化テクノロジーの実装」「ホストのセキュリティ管理の実装」 「モバイルデバイスのセキュリティ管理の実装」「ネットワークセキュリティの実装」 「システムとソフトウェア開発ライフサイクルへのセキュリティの実装」 「ホスト/ストレージ/ネットワーク/アプリケーション/仮想環境/クラウドテクノロジーの企業内へのセキュアな展開」「セキュリティ評価の実施」「セキュリティインシデントへの対応」に関する知識を体系的に学ぶことができます。 また、「The Official CompTIA CASP+ Self-Paced Study Guide」の学習と併用して CompTIAの提供するトレーニングを利用することもおすすめです。 CompTIA Labs for CySA+では学習者にブラウザーベースのバーチャル環境を提供し、実践的なスキルを学べるツールです。 これらは12か月利用することが可能で、学習を強力にバックアップしてくれるでしょう。 ラボの各アクティビティは、それぞれ別のシナリオで構成されているため、任意の順番で学習を進めることが可能でありCASP+の学習に役立てることができます。

CASP+の更新について

CASP+の更新について説明させていただきます。 CASP+は資格取得から3年間の有効期限が設定されております。 期間を過ぎてしまうと失効となってしまいますので、注意する必要があります。 また、CompTIAの認定資格を複数所有する場合においてですが、CASP+はそれらの最難関資格にあたるため、 更新を行うことで他の資格の更新も同時に完了します。

CASP+に関連する資格について

CASP+に関連する資格についても説明させていただきます。CASP+の特徴はベンダー依存せずカントリーフリーであり需要の高いサイバーセキュリティに関する資格であるという点となります。 サイバーセキュリティに関連する資格で、世界的に権威と信頼性のある組織は(ISC)²(International Information System Security Certification Consortium)です。 (ISC)²は世界最大のITセキュリティ組織として知られており、 安全で安心できるサイバーセキュリティの世界を実現することを目的とした国際的な非営利団体です。(ISC)²では情報セキュリティの共通言語となるCBKを策定し、情報セキュリティ人材評価におけるゴー ルドスタンダードとなる認証制度を開発、提供しています。あわせて、世界中の情報セキュリティ専門家を教育、認定することによって、CBKをグローバルでより良いものとし続けています。 CBKは、情報セキュリティ専門家が理解すべき知識を国際規模で収集し、分野別に体系的にまとめたものとなります。 (ISC)²の認定資格はCompTIAと同様世界で活躍したいエンジニアにとっては是非取得しておきたい資格となります。 (ISC)²を代表するセキュリティ資格は CISSP(Certified Information Systems Security Professional)とSSCP(Systems Security Certified Practitioner)と CSSLP(Certified Secure Software Lifecycle Professional)の3つが代表的な資格です。 アメリカの調査機関によりますと、年収の高いエンジニアの保有しているIT資格はセキュリティ資格とクラウド資格に集中しております。 具体的にはGlobal Knowledgeがアメリカで実施した調査によりますと、2021年において年収が高いIT関連資格の上位15個の多くがクラウドサービスとセキュリティに関する資格であったという調査結果がでており、 これからエンジニアになろうという方やキャリアアップを狙うエンジニアにとってセキュリティに関する資格は是非取得しておきたいところです。 最も年収の高い資格は「Google Certified Professional - Data Engineer」、 2位が「Google Certified Professional - Cloud Architect」、 3位は「AWS Certified Solutions Architect - Associate」 となっております。 それらに続き 「CRISC(Certified in Risk and Information Systems Control)」「CISSP(Certified Information Systems Security Professional」 「CISM(Certified Information Security Manager」「PMP(Project Management Professional)」「CISA(Certified Information Systems Auditor)」 「MCSE(Microsoft Certified Systems Engineer)」「CompTIA Security+」「CCA-V(Citrix Certified Associate - Virtualization)」などです。 (ISC)²の認定資格であるCISSPも上記にランクインしており、高い専門性とスキルを証明することができる資格であることは間違いありません。

では、CISSPについて簡単に説明させていただきます。 CISSPは国際的に認められた情報セキュリティ・プロフェッショナル認定資格として知られております。 Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において情報セキュリティ関連業務従事者の必須事項とされているほどセキュリティ資格として信頼性が高い資格です。 また、CISSPは米国規格協会(ANSI)よりISO/IEC17024の認証を受けその信頼性と権威性を高めました。 「セキュリティとリスクマネジメント」「資産のセキュリティ」「アイデンティティとアクセス管理」「ソフトウェア開発セキュリティ」「セキュリティアーキテクチャとエンジニアリング」 「通信とネットワークセキュリティ」「セキュリティの運用」 「セキュリティの評価とテスト」の分野から出題が行われます。 これらはセキュリティの専門家として必要な分野を網羅しており、かつ実践的な内容となっており CISSPを取得することで信頼性と権威性を担保することができるでしょう。

次にSSCPについて説明させていただきます。 SSCPでは、ソフトウェア開発における全ての工程において必要なセキュリティに関する知識を体系的に学ぶことができます。 また、ソフトウェアを外部の企業や外注先のエンジニアに対して発注する際のセキュリティ上の知識なども学ぶことができます。 情報セキュリティについては多くの資格が存在しますが、ソフトウェア開発のセキュリティの全ての工程において掘り下げて知識が必要とされる資格は他にはありませんので、それが最大の特徴と言えるでしょう。 SSCPはソフトウェア開発を行うエンジニアやプロジェクトマネージャーなどの管理職、テストエンジニア、ソフトウェア発注責任者など幅広い層が対象で、「セキュアソフトウェアの概念」「セキュアソフトウェアの要件」「セキュアソフトウェアの設計」「セキュアソフトウェアの実装とコーディング」 「セキュアソフトウェアのテスト」「ソフトウェアの検収」「ソフトウェアの導入、運用、保守及び破棄」 の7つの分野から構成されております。 CISSPと同様、セキュリティ分野の専門的な資格となりますが対象者などがやや異なるため、自身のキャリアにあった資格を選定するといいでしょう。

CCSPについても説明させていただきます。 CCSPはクラウドサービスを安全に利用するために必要な知識を体系化した資格となります。 特にクラウドガバナンス-法律、リスク、コンプライアンスやクラウドセキュリティの領域において セキュリティエンジニアやインフラエンジニアにとっては関連性が深い資格と言えるでしょう。 将来的に多くのシステムがクラウド化する流れは変わらず、今後エンジニアにとっては クラウドに関する知識は必須となります。 取得することでエンジニアとしての価値が高まり、キャリアアップやスキルアップに繋がることは間違いありません。 CCSPは問題数125問、1000点中700点以上で合格となります。 「クラウドの概念、アーキテクチャ、設計」「クラウドデータセキュリティ」「クラウドプラットフォームとインフラストラクチャセキュリティ」「クラウドアプリケーションセキュリティ」 「クラウドセキュリティオペレーション」「クラウドガバナンス-法律、リスク、コンプライアンス」の6つの分野によって構成されております。 試験に合格すると、クラウド内のデータ、アプリケーション、インフラストラクチャを効果的に設計、管理、保護するための高度な知識と技術スキルがあることが証明されます。
「クラウドの概念、アーキテクチャ、設計」の「クラウドの概念、アーキテクチャ、設計」では、そもそもクラウドとは?という点について基礎的な理解を行います。 また、クラウドのアーキテクチャや設計といった上流工程を実施できるための実務的な知識を獲得することができます。 具体的にはアーキテクチャ、リファレンスモデル、クラウドセキュリティの概念、プロバイダの評価など クラウドやセキュリティに関する基礎的な知識といった内容が学習範囲で出題比率は17%となっております。 「クラウドデータセキュリティ」では、クラウドにおいて最も重要なセキュリティに関する知識を学習します。 インフラエンジニア、クラウドエンジニアにとって非常に重要な内容となります。 データストレージの概念、暗号化、eディスカバリ、イベント処理に関する内容が学習範囲で出題比率は19%となります。 「クラウドプラットフォームとインフラストラクチャセキュリティ」では、クラウドにおいて重要なプラットフォームに関するテクノロジーやその他の専門的な知識は非常に重要となり、CCSPを学習することでそれらが身につきます。 具体的にはインフラ・コンポーネント、インフラ・リスク、セキュリティ管理策、IAM、BCP/DRに関する内容が出題され、出題比率は17%となります。 「クラウドアプリケーションセキュリティ」では、クラウド上で開発を行う際に必要な知識を習得しておくことは、クラウドエンジニアやインフラエンジニア、開発エンジニアなど多くのエンジニアにとって非常に重要です。 具体的には開発ライフサイクル、安全な開発、ソフトウェアの検証に関する内容が出題され、出題比率は17%となります。 「クラウドセキュリティオペレーション」では、クラウドの運用など導入後に関する重要な知識を獲得することができます。 具体的にはクラウドの評価、運用管理、安全な運用に関する内容が出題され、出題比率は17%となります。 「クラウドガバナンス-法律、リスク、コンプライアンス」ではクラウドの業務を遂行するにあたり重要な点がクラウドに関する法律やコンプライアンスなどのルールを理解することです。 法律やコンプライアンス要件、プライバシー、監査、契約に関する内容が出題され、出題比率は13%となります。 以上でCCSPの試験についての説明とさせていただきます。

最後にCCSPに関するメリットをいくつか紹介させていただきます。 まず一点目が将来性です。 クラウドエンジニアの需要は将来的に高まる一方です。 特に若手エンジニアや業務知識のあるエンジニア、あるいはセキュリティに関する専門知識を持つエンジニアは 将来的に非常に需要が高くなると予想されております。 実際にアメリカにおいてはクラウドエンジニアに関する資格やサイバーセキュリティエンジニアに関する資格を 持ったエンジニアの年収が高いことで知られており、日本においても今後同様の傾向がみられると予想されております。 また、CCSPを取得していることで、取引先や企業内で信頼性を獲得することができるという点も大きなメリットです。
二点目がコミュニティです。(ISC)²の コミュニティでは様々な専門家が参加しており、そういったメンバーと交流を行うことは 自身のスキルアップに繋がります。 (ISC)²は 世界的な権威のある団体して知られており、それらのメンバーと交流することはエンジニアの知見を広げることに 繋がるでしょう。

まとめ

いかがでしたでしょうか? CASP+について詳しく解説させていただきましたので、 参考にしていただけましたら幸いです。