SSCPとは？詳しく解説させていただきます

TOP
コラム
SSCPとは？詳しく解説させていただ

SSCPの概要について

ここでは、SSCP(Systems Security Certified Practitioner)について説明させていただきます。 SSCP(Systems Security Certified Practitioner)は（ISC）²（International Information System Security Certification Consortium）が主催する資格でありセキュリティに関する知識を問う問題が出題されます。（ISC）²は世界最大のITセキュリティ組織として知られており、安全で安心できるサイバーセキュリティの世界を実現することを目的とした国際的な非営利団体です。また、情報セキュリティの共通言語となるCBKを策定し、情報セキュリティ人材評価におけるスタンダードとなる認証制度を開発、提供しています。特定のベンダー製品の知識や企業・国家などに依存しないベンダーフリー・カントリーフリーの情報セキュリティ資格としても有名です。 SSCPは（ISC）²が主催するセキュリティの専門資格と比較すると難易度はそこまで高くありませんが、「アクセス制御」「セキュリティオペレーションと管理」　「リスクの特定、モニタリングと分析」「インシデントレスポンスとリカバリ」　「暗号」　「ネットワークと通信のセキュリティ」「システムとアプリケーションセキュリティ」の7つの分野から出題され、一定の情報セキュリティに関する知識は必須となります。 SSCPの対象者は情報セキュリティの専門家でなくともネットワークやシステムの開発・運用などに従事しているエンジニアも対象となります。 SSCPのコンセプトの一つが技術的な観点だけではなく「組織」という観点から情報セキュリティを理解し、情報セキュリティ専門家や経営陣とコミュニケーションを図れることを目指す人材ということなので現在IT業界で働いておりさらにステップアップしたいエンジニアの方や高いレイヤーの職種を目指すエンジニアの方にはぴったりの資格と言えるでしょう。また、情報セキュリティ専業で経験年数が少ないエンジニアにとっては、より実践に近い内容をグローバルの標準に則った試験内容となりますので、SSCPを学習することで普段の業務のレベルアップや補完的や役割を果たすことができる資格とも言えるでしょう。近年になりセキュリティエンジニアの市場価値や需要が高くなっていることは多くのメディアで報じられております。それに伴いセキュリティエンジニアの能力を証明するための資格の価値も上昇しており、そのような意味でもSSCPを取得するメリットは非常に大きいのではないでしょうか。
近年Global Knowledgeがアメリカで実施した調査によりますと、2021年において年収が高いIT関連資格の上位15個の多くがクラウドサービスとセキュリティに関する資格であったという調査結果がでております。最も年収の高い資格は「Google Certified Professional - Data Engineer」、続いて2位が「Google Certified Professional - Cloud Architect」、 3位は「AWS Certified Solutions Architect - Associate」となっております。それらに続き　「CRISC（Certified in Risk and Information Systems Control）」「CISSP（Certified Information Systems Security Professional」「CISM（Certified Information Security Manager」「PMP（Project Management Professional）」「CISA（Certified Information Systems Auditor）」「MCSE（Microsoft Certified Systems Engineer）」「CompTIA Security+」「CCA-V（Citrix Certified Associate - Virtualization）」など、（ISC）²が主催する資格を始め複数のセキュリティに関する資格がランクインしていることになります。 SSCPは（ISC）²の主催している「CISSP（Certified Information Systems Security Professional」と比較すると知名度などは劣りますが、説明したようなセキュリティ資格に準ずる資格として挑戦したい資格の一つと言えるでしょう。特に（ISC）²の主催する資格は国際的な信頼性が高いためグローバルな活躍を目指すエンジニアにはおすすめです。以上が簡単ではありますがSSCPに関する説明とさせていただきます。さらに詳しくSSCPについて解説させていただきますので、参考にしてみてください。

SSCP試験の詳細について

SSCP試験の詳細について説明させていただきます。 SSCPはピアソンVUE のテストセンターで受験することが可能で、CBT形式で実施され、180分の受験時間で合格ラインは70%とされております。すでに本文でお伝えしたように（ISC）²の主催するセキュリティ資格の中では難易度が低いため一問ごとのハードルは決して高くありません。その一方で「アクセス制御」「セキュリティオペレーションと管理」　「リスクの特定、モニタリングと分析」「インシデントレスポンスとリカバリ」　「暗号」　「ネットワークと通信のセキュリティ」「システムとアプリケーションセキュリティ」の7つの分野の幅広い知識は必須となりますので、わからない単語をそのままにしておくと合格ライン到達が難しくなってしまうためしっかりと準備することが必要です。 SSCPの出題内容と構成についてみていきましょう。

アクセス制御

「アクセス制御」ではアクセス制御を実現するための様々な方策を論理的、物理的に展開していきます。SSCPでは論理的アクセス制御を中心に出題が構成されていますが、物理セキュリティの知識もアクセス制御に含まれますので、学習を行う際の参考にしてみてください。アクセス制御の 4つの要素である、識別、認証、認可、説明責任を理解し、機能要件となるシステムの提供、そしてアイデンティティマネジメントなどのソリューションについて理解します。 SSCPにおけるアクセス制御システムには識別、認証、認可、説明責任（監査）のメカニズムが含まれ、アクセス制御システムの基本原則と、実装、管理、セキュリティ対策の方法についての知識が出題されます。認証メカニズムや、単要素／多要素認証、シングルサインオン、デバイス認証などの用語に精通している必要があり、異なるシステムをまたいだネットワーク間信頼アーキテクチャやフェデレーテッドID管理を理解していることが必要です。認可、プルーフィング、プロビジョニング、保守、エンタイトルメントを含むID管理ライフサイクルを完全に理解していなければなりません。強制、任意、ロールベース、属性ベースなどのさまざまな種類のアクセス制御フレームワークの実装および管理に関しての知識も必要とされます。 SSCPを受験する前にそれぞれの単語の意味について簡単に調べておくことをおすすめします。
「アクセス制御の実装」では以下のキーワードが出題範囲となります。サブジェクト、オブジェクト、リファレンスモニター、情報管理モデル(IMM) 、許可、強制アクセス制御(MAC)、非任意アクセス制御(NDAC)、任意アクセス制御(DAC) 、ルールベースのアクセス制御、役割ベースのアクセス制御(RBAC)、ビューベースのアクセス制御(VBAC) 、コンテンツ依存型アクセス制御(CDAC)、一時アクセス制御、属性ベースのアクセス制御(ABAC)。以上となります。
「アイデンティティマネジメントライフサイクル」では以下のキーワードが出題範囲となります。、新規ユーザーの登録、プロビジョニング、証明、識別、認証、単一要素認証(知識ベース)、多要素認証、所有権ベースの認証、認可、メンテナンス、パスワード、所有権、トークン、時刻同期パスワード、属性(バイオメトリック認証)、バイオメトリックの分類、バイオメトリックの精度、サービス拒否、資格、アカウンティング、特権アクセス。以上となります。
「認証方法の実装と維持」では以下のキーワードが出題範囲となります。分散型アクセス制御、集中型アクセス制御、シングルサインオン(SSO) 、ケルベロス、 IDaaS、セキュリティアサーションマークアップ言語 (SAML)、オープン認証(OAuth)、ネットワーク、コミュニケーション、トラスト、信頼パス、ネットワークアクセス制御の管理、ネットワークアクセス保護、 802.1x シングルサインオン、リモート認証ダイヤルインユーザーサービス (RADIUS)、 RADIUS の脆弱性、ターミナルアクセス制御システム。以上となります。

セキュリティオペレーションと管理

情報セキュリティマネジメントにおいてセキュリティオペレーションや管理に関する知識は必須となります。セキュリティ原則についてしっかり理解をしハードウェア、ソフトウェアの管理だけでなくセキュリティ戦略や様々なマネージメントスキルまでがSSCPの出題範囲として扱われます。SSCPにおける「セキュリティオペレーションと管理」では基本的なセキュリティの概念と、それらの概念を企業コンピュータシステムおよびシステムが取り扱う情報の日常の運用・管理する知識が問われます。CIAと呼ばれる機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の三要素の原則についての理解が問われます。プライバシー、最小権限、否認防止、職務の分離などのセキュリティ概念に対しても理解が必要です。人員、設備、ハードウェア、ソフトウェア、情報を含む資産の管理について、システム開発ライフサイクル（SDLC）、ハードウェア、ソフトウェア、破棄、データ消失防止などのあらゆる側面からの理解を求めます。セキュリティ制御の実装と評価、IT企業における変更管理プロセスとプロシージャ、構成管理および変更管理のすべての内容に関する知識が求められます。具体的には以下のような内容となります。
「セキュリティ原則の理解」では以下のキーワードが出題範囲となります。よくある誤解、論点、フォーカス、ギャップを埋める、資産の保護、分類と資産価値、情報セキュリティの原則、機密性、機密データへのアクセス、データ保護(知る必要)、保護された情報、センシティビティ、完全性、否認防止、可用性、クリティカル、プライバシー、最小特権、職務の分離、多層防御。以上となります。
「資産マネジメント」では以下のキーワードが出題範囲となります。資産カテゴリ、資産の識別、IT 資産管理(ITAM)、資産保護、資産リスク管理の責任、資産ライフサイクル、焦点を合わせる資産、ハードウェア/ソフトウェアデバイス管理、ハードウェア、ハードウェアのインベントリ、ハードウェアの調達、ハードウェアの実装、ハードウェアの運用とメンテナンス、ハードウェアの廃棄(HDD)、ハードウェアの廃棄(SSD)、ソフトウェア、ソフトウェアのインベントリ、構成管理、情報、情報の分類、分類プロセス、プライバシー、情報の所有権、運用、メンテナンス、第三者/アウトソーシングへの影響、サービスレベル契約(SLA) 、リスクと資産価値、サードパーティ/アウトソーシングへの影響、リスクと資産価値、人事、雇用、人材開発、退職、物理、訪問者、資産保護、コントロールの選択。以上となります。
「機能的セキュリティ管理策(ドキュメント、実装、維持)」では以下のキーワードが出題範囲となります。セキュリティ戦略、セキュリティコンディション、セキュリティプログラムの成熟度、ポリシー、ポリシーに関する基本的な考慮事項、機能的ポリシー、ポリシー実装のサポート、プロシージャー、標準とベースライン、ガイドライン、コントロール、定義されたコントロール、最初に提案された概要、予防的コントロール、反応的コントロール、補正的コントロール、階層化されたコントロール、実施／評価、セキュリティ運用レビュー。以上となります。
「変更管理」では以下のキーワードが出題範囲となります。構成管理、変更管理、変更管理委員会、リリース管理、リリースマネージャ、ベースライン、構成管理データベース、コード署名、リリース管理ツール、システム保証とコントロールの検証、パッチ管理、ロールアウト、不正な変更の検出、ファイル整合性チェック。以上となります。
「物理セキュリティの運用」では以下のキーワードが出題範囲となります。物理的セキュリティの目標、多層防御、ドア、ビル、訪問者のコントロール、ドアロック、ロックの種類、ハイテク鍵、ターンスタイル、マントラップ、鍵のコントロール、窓、ガラスの種類、道路、PTED 、火災、消火、ガス消火、音響、ポータブル消火器、電力、UPS と発電機、その他の物理的セキュリティの考慮事項、暖房、換気、および空調(HVAC) 、空気汚染、湿度、水、通信とサーバールーム、雷からの保護、センサーと制御、照明とカメラ、金庫、金庫室、コンテナ。以上となります。
「セキュリティ意識トレーニング」では以下のキーワードが出題範囲となります。用語、セキュリティ意識向上トレーニング、セキュリティ意識向上プログラムの提供、重要な成功要因、メッセージ、一般的なセキュリティ意識、トレーニング、潜在的なトレーニングトピック、ソーシャルエンジニアリング、ソーシャルエンジニアリング攻撃、セキュリティトレーニングプロバイダ、倫理、（ISC）²倫理規約、倫理規約の序文、倫理規約の基準。以上となります。

リスクの特定、モニタリングと分析

SSCPではリスクマネジメントや分析の手順に加え、コンプライアンスマネジメントの重要な要素である改善提案のための情報収集、分析手法について理解します。監査における法的順守事項などについても理解し、公正で適切な手順を理解し、実施できるようにします。「リスクの特定、モニタリングと分析」の項目では、それらに知識について説明させていただきます。
「リスクマネジメントプロセスの理解」では以下のキーワードが出題範囲となります。プロセス、リスクマネジメントの体制、フレームリスク、リスクマネジメントプロセス、脅威、脆弱性、影響、発生の可能性、リスクを評価する、リスク評価要因、リスク対応、リスクのモニタリング、継続的/コンプライアンスモニタリング、モニタリング、リスク管理のためのデータソース、ソースシステムまたはレコードシステム(SOR) 、脆弱性の識別、脆弱性評価、共通脆弱性評価システム(CVSS)。以上となります。
「リスクマネジメントプロセス-対応」では以下のキーワードが出題範囲となります。プロセス-対応、リスク評価プロセス、己の敵を知る、リスク評価の難しい部分、リスクプロファイル、定性的および定量的リスク評価の方法論、リスクの可視性、リスクレジスタ、リスク耐性、リスク対応の選択肢、セキュリティ投資の利点、費用対効果、その他の考慮事項、セキュリティ予算、リスク対応の選択肢、行動計画、リスク受容レベル、リスク評価のフローチャート、リスク対応、リスク回避、リスク低減/低減プロセス、リスク受容度、共有/移転リスク、残存リスク、コントロールの有効性を評価する、リスクの変化を監視する新しい脆弱性。以上となります。
「モニタリングシステムの運用と維持」では以下のキーワードが出題範囲となります。モニタリング用語、継続的監視およびその他の監視システムの運用と維持、主要分野のモニタリング、監査計画、継続的モニタリング、センサーとセンサーネットワーク、物理センサー、SCADA 、侵入検知と侵入防止、NIDS/NIPS、ホストベースセンサー、検出エンジン(IDS/IPS)、アプリケーションログ、モニタリングの実装上の問題、モニタリングの種類、モニタリングの課題、ロギング、アプリケーションログ、クリッピング、ログ統合、ログを保護する、IPフロー、イベント相関システム(SIEM) 、ネットワークセキュリティの強化とIT/セキュリティ運用の向上、フルパケットキャプチャ、データ損失防止。以上となります。

インシデントレスポンスとリカバリ

SSCPでは事故対応分析などの活動に関する基礎的な知識および事業継続計画や災害復旧計画などにおける知識が問われます。「インシデントライフサイクル」では以下のキーワードが出題範囲となります。インシデント対応、共通言語による会話、事業継続とインシデント対応、インシデント対応の概要、準備、インシデント対応ポリシーの要素、インシデント管理計画のステップ、ポリシー要素、インシデント対応計画、インシデントレスポンスチーム、トレーニング、インシデント対応ツール、インシデントと)データが元の適正な状、コミュニケーション計画、効果的なインシデントハンドリングのための要件、インシデントの定義、検出と分析、インシデント分析、情報ソース、インライン SSL 復号デバイス、インシデント文書、インシデント管理計画のステップ、対応、封じ込め戦略に関する考慮事項、発見、エスカレーション、トリアージ、通知、封じ込め、回復および根絶、報告とフィードバックのループ(学んだ教訓) 、インシデント対応、管理策の実施。以上となります。
「事業継続計画と災害復旧計画の理解」では以下のキーワードが出題範囲となります。緊急時対応計画とプロシージャー、事業継続計画、BCP と DRP の比較、ビジネス影響分析(BIA)、BIA プロセス、ビジネス影響分析メトリクス、継続性復旧の要件、 BIA プロジェクトステージ、復旧戦略の選択、災害復旧計画、災害復旧計画- 情報技術の復旧、復旧戦略の選択、バックアップと冗長性の実装、電子金庫(オンラインストレージ) 、リモートジャーナリング、ハードウェア保護、RAID 、計画書の作成、回復、計画のテスト、保守、および実施計画の確認とメンテナンス。以上となります。
「フォレンジック調査の理解」では以下のキーワードが出題範囲となります。フォレンジック調査、フォレンジックガイドライン、犯罪現場の説明、インシデントレスポンスチーム、一般的なガイドライン、経験則、犯罪行為、主要なポイント、証拠収集、ロカールの交換原理、ハッシュアルゴリズム、刑事責任、ドキュメンテーション、5 つの証拠規則、分析、NIST の推奨事項の説明、法的およびプライバシー上の懸念、データのプライバシーと国境を越えた管理、インタビュー。以上となります。

暗号

暗号の項目では、暗号の基本的な概念と暗号の使用に関する要件についての知識が問われます。ハッシュ、ソルト、対称／非対称暗号、デジタル署名などの一般的な暗号の概念、手法と技術の理解、また否認防止の概念および実現のためのツールとテクニックについての理解も求められます。そして、主な鍵管理概念、公開鍵インフラストラクチャ、管理と検証、信頼の網、セキュアプロトコルの実装と使用に関する暗号システムの実装と運用に関する全般的な知識を知っている必要があります。かつ、暗号の使用と暗号システムに関する法令および規制要件と制約を理解している必要があります。データ管理および通信における暗号技術について全般的に理解します。暗号が利用される環境について想定し、どのような暗号技術を利用するのが良いのかという知識が出題されます。「暗号の基本的概念の理解」では以下のキーワードが出題範囲となります。暗号化プロセス、用語、初期化ベクター(IV) 、XOR 、暗号システムのカテゴリ、暗号化の利点、データセンシティビティと規制要件、シャノンの法則、暗号に関する法的問題、ユーザートレーニングセキュリティ意識トレーニングのトピック。以上となります。
「暗号アルゴリズム」では以下のキーワードが出題範囲となります。暗号アルゴリズムの評価、対称アルゴリズム、対称アルゴリズムのバージョン、対称アルゴリズムのメリットとデメリット、ストリーム暗号、ブロック暗号、 ECB、CBC 、CFB、OFB、CTR、ストリーム暗号とブロック暗号の比較、DES、2DES、 3DES、AES、CCMP を使用したカウンターモード、非対称アルゴリズム、非対称アルゴリズムの利点、非対称アルゴリズムの欠点、Diffie-Hellman、El Gamal、Rivest – Shamir – Adleman(RSA) 、楕円曲線暗号(ECC)、暗号の使用方法、ハイブリッド暗号、セッションキー。以上となります。
「PKI」では以下のキーワードが出題範囲となります。完全性、ハッシュ、完全性チェック、セキュアハッシュアルゴリズム(SHA-3) 、ハッシュアルゴリズムとメッセージ認証コードへの攻撃、誕生日のパラドックスとレインボーテーブル、ソルト、デジタル署名、PKI、認証局(CA)、X-509 証明書、証明書の失効、Web of Trust。以上となります。
「鍵の管理」では以下のキーワードが出題範囲となります。基本的な鍵管理の概念、ケルクホフの原理、鍵管理の進化、主な課題、鍵の数に関する課題、鍵の作成、鍵長、鍵クラスタリング、鍵管理、鍵配布、鍵の保管、鍵の破壊、鍵リカバリ、鍵エスクロー。以上となります。
「セキュアプロトコル」では以下のキーワードが出題範囲となります。セキュアな通信の実装、S/MIME、 S/MIME の利点、 SSL / TLS、ステガノグラフィ、NULL 暗号、IPSec、SA 、トランスポートモードとトンネルモード、インターネット鍵交換(IKE) 、リモートアクセス、仮想ネットワークターミナルサービス、仮想プライベートネットワーク(VPN)、VPN の種類、暗号解読、暗号解読攻撃の方法、クリッピングレベル、ステガナリシス。以上となります。

ネットワークと通信のセキュリティ

ネットワークにおける物理的および論理的な構成を知り、情報セキュリティに関わる問題点を特定できる知識はセキュリティエンジニアとしては必須と言えます。 SSCPではネットワークの機密性、完全性、可用性、認証や様々な外部からの攻撃に対する管理策や適正なプロトコルの選択などについての知識が問われます。「ネットワークの構成要素」では以下のキーワードが出題範囲となります。 OSI と TCP/IP モデル、OSI モデル、OSI モデルの各レイヤとその機能、レイヤ 2 フレーム、IP、レイヤ 3 パケット、ルーティングプロトコル、レイヤ 4 セグメント、UDP、TCP、TCP 3 ウェイハンドシェイク、レイヤ 5、レイヤ 7 プロトコル、データグラムの構築。以上となります。
「ポートとプロトコル」では以下のキーワードが出題範囲となります。プロトコル、ARP、ネットワーククラス、DHCP リース、DNS、グローバル DNS 構造、DNSSEC と新しいレコードタイプ、TCP、UDP、伝送タイプ、ICMP 、 RPC、ネットワークトポロジー、トポロジーモデル、メディアアクセス制御方法、伝送メディア、一般的に使用されるポートとプロトコル、ウェルノウンポートとプロトコル、SNMP 、 HTTP プロキシ、SCADA、SCADA への攻撃。以上となります。
「ネットワークへの攻撃と管理策」では以下のキーワードが出題範囲となります。サービスモデル、攻撃の方法、盗聴、ネットワークへの攻撃、プロトコルベースの攻撃、SCADA への攻撃、IP への攻撃、TCP シーケンス番号への攻撃、 SYN フラッディング、スマーフ攻撃、フラッグル攻撃、NFS 攻撃、 DNS 攻撃、トラフィックシェーピング、ネットワークアーキテクチャ、オープンメールリレー、 DoS / DDoS、 SIP フラッディング攻撃。以上となります。
「ネットワークセキュリティの管理」「無線ネットワークの設定と運用」「ネットワークアクセス制御」なども試験範囲となります。「システムとアプリケーションセキュリティ」の項目では、ソフトウェアを開発するうえでセキュアな環境や保護するための知識について問われます。また、近年ではクラウド環境での開発に関する知識も非常に重要となってきており、クラウドセキュリティに関する運用や仮想化に関する知識も出題されます。

SSCPのメリットについて

SSCP取得のメリットについてポイントを絞り紹介させていただきますので参考にしてみてください。

知識を体系的に学ぶことができる

メリットの一点目がセキュリティに関する知識を体系的に学ぶことができる点となります。すでに本文で説明させていただきましたように、SSCPは「アクセス制御」「セキュリティオペレーションと管理」　「リスクの特定、モニタリングと分析」「インシデントレスポンスとリカバリ」　「暗号」　「ネットワークと通信のセキュリティ」「システムとアプリケーションセキュリティ」の 7つの分野から構成されております。それぞれ情報セキュリティにおいては非常に重要な内容ですが、実際の現場において全て体系的に学ぶ機会は決して多くはありません。 SSCPの学習により体系的な知識を身につけることで実践的なスキルを獲得することができるという点は大きなメリットの一つと言えるでしょう。

エンジニアとしてのキャリアアップ

メリットの二点目がエンジニアとしてのキャリアアップとなります。エンジニアの場合、第三者に対して客観的の能力を示すことのできる資格はキャリアアップにおいて有効です。すでに本文で説明したようにクラウドやセキュリティに関する資格はIT業界において最も価値の高い分野となりますので、 SSCPに合格することは大きなメリットとなるでしょう。

国際的な資格としての信頼性

メリットの三点目が国際的な資格としての信頼性となります。（ISC）²はセキュリティ分野の資格として国際的な信頼性があります。日本国内だけでなく外資系企業への転職やや海外勤務など多くの場面でSSCPの信頼性は役に立つでしょう。

SSCPのトレーニングについて

SSCPのトレーニングについて説明させていただきます。 SSCPの難易度は（ISC）²の主催するセキュリティ資格の中ではそこまで高くありません。ただし、独学で受験しようと考えた際に日本語の参考書が少ないという点がネックの一つです。唯一日本語の公式参考書が「SSCP認定資格公式ガイドブック NTT出版 (2012/2/23)」となります。ただしこの参考書は出版された年月がかなり昔である点がネックであることと、入手しづらいため注意が必要です。
SSCPの他の学習方法としては、自己学習オンラインコース「Online Self-Paced Training」が提供されております。ただしこちらのコースは英語でのレッスンのため一定の英語力が必須となります。また、（ISC）²が定期的に開催する「SSCP Online Information Session」に参加するというのも有効なトレーニングとなります。 SSCPで出題される7つの分野からピックアップしセミナーを実施するため、自分の学習したい内容とマッチをしている必要がありますが受験対策の一つとしては役に立つでしょう。 SSCPの受験予定日が決定したらセミナーをチェックして、タイミングがあうようであれば是非受講してみましょう。まとめるとSSCPのトレーニングは参考書を購入し独学を行う、あるいは（ISC）²のオンライントレーニングおよびセミナーを受講するという方法となります。受験者のスキルに見合った方法でとトレーニングを行うといいでしょう。

Global Achievement Awardsについて

SSCPに関連するキーワードとして、 （ISC）²Global Achievement Awardsを紹介させていただきます。（ISC）²Global Achievement Awardsは近年になり設立された賞であり、セキュリティ分野のプロフェッショナルを表彰するために設置されました。すでに本文で説明したように（ISC）²は情報セキュリティにおける専門家の組織として世界中に展開を行っております。（ISC）²Global Achievement Awardsは名前の通り世界中の専門家に対して地域の垣根を越えて高い貢献を行ったプロフェッショナルに対して送られる賞となります。内容によっていくつかの賞が設置されておりますので、簡単に紹介させていただきます。（ISC）²Global Achievement Awardsはサイバーセキュリティと情報セキュリティ業界に顕著な貢献をした個人を表彰する内容となり、彼らの努力と卓越した基準を称えています。受賞者は、しかるべき同僚、メンター、業界関係者から指名されたプロフェッショナルがとなります。（ISC）²Global Achievement Awardsは内容や対象者によって分類されますので、それぞれについて説明させていただきます。

ではまず(ISC)² Senior Professional Awardについて説明させていただきます。 (ISC)²Senior Professional Awardは情報セキュリティ人材向上のイニシアチブ、プログラム、またはプロジェクトにおいてリーダーシップを発揮し、情報セキュリティ人材の強化に大きく貢献した個人を表彰する賞となります。（ISC）²Global Achievement Awards自体は 2020年に設立された賞のため、受賞者は少ないですが2020年の受賞者は3人となります。 Senior Professional Awardという呼び名の通り経験豊富かつ情報セキュリティ分野におけるプロフェッショナルが選出される賞となります。
次に(ISC)² Mid-Career Professional Awardについて説明させていただきます。 (ISC)² Mid-Career Professional Awardはサイバー、情報、ソフトウェア、インフラストラクチャーのプログラム/プロジェクトの重要な要素を管理または実施するためのコミットメントと実績を示した、中堅の段階にある個人を表彰する賞となります。 Mid-Career Professionalという呼び名の通り情報セキュリティの専門家の中堅のプロフェッショナルが選出されます。
次に(ISC)² Rising Star Professional Awardについて説明させていただきます。 (ISC)² Rising Star Professional Awardは情報セキュリティの分野においてキャリアの浅い専門家に対して贈られる賞となります。
次に(ISC)² Government Professional Awardについて説明させていただきます。 (ISC)² Government Professional Awardは Government Professionalという名前の通り政府の情報セキュリティリーダーの中活躍したプロフェッショナルや教育に尽力したプロフェッショナルが選出されます。
次に(ISC)² Board Awardsについて説明させていただきます。 (ISC)² Board Awardsはサイバーセキュリティ分野での優れた貢献と実績を表彰します。
次に(ISC)² CEO Awardについて説明させていただきます。(ISC)² CEO Awardはサーバーセキュリティコミュニティに対してボランティアで貢献したプロフェッショナルを表彰するものとなります。
最後に(ISC)² Chapter Recognition Awardsについて説明させていただきます。(ISC)² Chapter Recognition Awardsは各地域内の公式Chapterに対して贈られる賞となります。地域社会への貢献や地域内に対する会員や加盟団体への利益などの貢献に対して表彰が行われます。以上が（ISC）²Global Achievement Awardsに関する説明となります。

CompTIA Security+について

SSCPに関連する資格として CompTIA Security+を紹介させていただきます。 CompTIA Security+はSSCPと同様セキュリティに関する知識を問う資格となります。 CompTIA Security+はCompTIA（The Computing Technology Industry Association）が主催する資格の一つです。 CompTIAは1982年に設立され、ベンダーニュートラルなIT関連資格・認定などを行っているIT業界団体として知られており、CompTIA Security+だけでなく「CompTIA IT Fundamentals」「CompTIA A+」「CompTIA Network+」「CompTIA Cloud+」「CompTIA Linux+」「CompTIA Server+」「CompTIA Project+」「CompTIA CTT+」「CompTIA Cloud Essentials+」などの資格を主催しております。インフラエンジニアは業務において幅広い知識が問われますので、複数の知識を取得することは実践面においてもキャリアアップにおいてもおすすめです。また、セキュリティエンジニアの専門家として活躍する場合においても同様で、セキュリティはあらゆるシステムに関連しており様々な業務に関する理解が求められるため資格を学習することで体系的な知識を獲得することができます。

では、CompTIAが主催するそれぞれの資格の内容について簡単に説明させていただきます。「CompTIA IT Fundamentals」はPCやスマートフォン、タブレットなどのハードウェアコンポーネントと機能、互換性やネットワーク、セキュリティ、基本的なITリテラシーに関するスキルを評価するCompTIAの認定資格となります。「CompTIA IT Fundamentals」はこれからIT業界で働く方や学生など若手向けの資格となります。「CompTIA A+」はPCやタブレット、モバイルといったハードウェア、Windows、iOSやAndroidといったOSやソフトウェア、プリンターなどの周辺機器に関連したスキルを評価する CompTIAの認定資格となります。「CompTIA A+」の対象者は1年程度の経験を持つ若手のエンジニアとなります。「CompTIA Network+」はネットワークに関する資格となります。ネットワークの構成、運用、トラブルシューティングなどスキル、セキュリティや、ツールを用いたトラブルシューティング、仮想化などのスキルを網羅するCompTIAの認定資格となります。「CompTIA Network+」の対象者はネットワーク関連業務の9ヶ月のエンジニアとなっております。「CompTIA Cloud+」はクラウドに関する資格となります。クラウド環境の実装と運用・管理、仮想化などの技術に対するスキルを問うCompTIAの認定資格となります。特にセキュリティエンジニアにとってクラウドに関する専門知識はこれから非常に重要になってきますので、 SSCPと関連性の高い資格の一つと言えるでしょう。「CompTIA Linux+」はLinuxに関する資格となります。インフラエンジニアとして必須であるLinuxの知識と問う資格であり、 Linuxシステムの設計・構築とセキュアな運用・保守に必要とされるスキルを評価するCompTIAの認定資格となります。こちらもセキュリティエンジニアと関連性の高い資格の一つです。「CompTIA Server+」はサーバーに関する資格です。サーバーの構築、管理・運用において、サーバーの役割や仕様、環境問題の特定、災害復旧や物理セキュリティ、ソフトウェアセキュリティの理解と実装、トラブルシューティングなどについてのスキルを評価するCompTIAの認定資格となります。
CompTIAが主催する資格でセキュリティに関連する資格としては「CompTIA Advanced Security Practitioner」「CompTIA CySA+」「CompTIA PenTest+」などがあります。「CompTIA Advanced Security Practitioner」はCompTIAの取り扱うセキュリティ資格の中でも最難関の資格であり、IT全般の管理者として10年、そのうちセキュリティ管理者として5年以上の実務スキルを持つエンジニアが対象者となります。セキュリティ要件、リスク管理、インシデント対応、クリティカルなエンタープライズセキュリティでのスキルを網羅するCompTIAの認定資格となります。「CompTIA CySA+」はセキュリティ実務者としての3～4年の実務経験を持つエンジニアが対象者となる資格です。 ITセキュリティにおける分析と、セキュリティ全体の改善を実行するために必須となるスキルを評価します。企業/組織の重要なインフラやデータのセキュリティを維持するために必要となる脅威検出/脅威分析のツールを使用、分析、監視するスキルを問うるCompTIAの認定資格となります。「CompTIA PenTest+」はセキュリティ全般ではなくペネトレーションテスターとしての知識に重点が置かれた資格です。ネットワーク上の脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナル向けの資格です。ペネトレーションテストの手法、脆弱性評価、また攻撃があった際のネットワークを回復するために必要となるスキルを評価する CompTIAの認定資格となります。

最後にSSCPに関連する資格としてCompTIA Security+の紹介をさせていただきます。 CompTIA Security+は上記でお伝えしたセキュリティ資格である「CompTIA Advanced Security Practitioner」「CompTIA CySA+」「CompTIA PenTest+」と比較するとやや難易度は低く実務経験が2年程度のエンジニアが対象となっております。 CompTIA（The Computing Technology Industry Association）によりますと以下のスキルを証明する資格となります。「エンタープライズ環境のセキュリティ態勢を評価し、適切なセキュリティソリューションを推奨および実装する」「ククラウド、モバイル、 IoTなどハイブリッド環境のセキュリティを確保しモニタリングする」「ガバナンス、リスク、コンプライアンスの原則を含む適切な法律やポリシーを認識したうえで運用する」「セキュリティイベントやインシデントの識別分析、対応を実施する」 CompTIA Security+の問題数は最大90問であり出題形式は単一/複数選択で試験時間 90分で実施されます。 CompTIA Security+の試験範囲は「脅威、攻撃、脆弱性」「アーキテクチャと設計」「実装」「運用とインシデントレスポンス」「ガバナンス、リスク、コンプライアンス」の5つの分野から出題され、それぞれ「脅威、攻撃、脆弱性」は24％、「アーキテクチャと設計」は21％、「実装」は25％、「運用とインシデントレスポンス」は16％、「ガバナンス、リスク、コンプライアンス」は14％という出題比率で構成されております。試験範囲を一通り学習することで情報セキュリティや情報セキュリティに関する知識を網羅することができますので若手エンジニアにとってはおすすめの資格の一つとなっております。以上がSSCP(Systems Security Certified Practitioner)に関連する資格である CompTIA Security+やCompTIAに関する知識の説明となります。

まとめ

いかがでしたでしょうか？ SSCPについて詳しく解説させていただきましたので、参考にしていただけましたら幸いです。