サイバーセキュリティの認証は、IT専門家にとってキャリアの不可欠な要素となっています。多くのフォーラムで、初心者から「認証AやBは良い選択ですか?」という似たような質問が寄せられます。確かに、認証が直接的に雇用を保証するわけではありませんが、履歴書を強化し、就職市場での立場を向上させる助けとなります。これらの認証を取得するための真摯な準備は、サイバーセキュリティ市場で求められる知識とスキルを提供します。認証は専門知識を証明するだけでなく、より良い仕事のオファーや高い給料、そしてキャリアの発展の機会を開くことができます。業界には多くの詐欺師が簡単にサイバーセキュリティの世界に入ることを約束していますが、ここでは国際的な雇用主に最も求められている認証のランキングを紹介します。
以前、サイバーセキュリティ分野の有価な認証について情報を探していた場合、以下の包括的なリストに出会ったことがあるかもしれません:Security Certification Roadmap。特定の分野で何かを探しているなら、ぜひ一度ご覧ください。
Indeedのアメリカの求人市場分析によると、CISSPを持つ専門家が最も求められています:
一方、最高の報酬を期待できるのは、クラウド分野のサイバーセキュリティ専門家で、CCSKという汎用的な認証を持つ人々です:
以下のグラフ形式の一覧をご覧ください:
サイバーセキュリティの認証は、初級、中級、上級のいくつかのレベルに分けることができ、それぞれが異なる専門家グループと教育ニーズに対応しています。以下のランキングは、主に業界での認知度、市場での給与、認証の費用、取得の難易度、および認証に含まれる知識の実用性などの基準に基づいています。
1. 初級レベル – 「最初の一歩を踏み出した!」
- CompTIA A+ 438ドル
CompTIA A+は、コンピュータ技術やモバイル技術、ソフトウェア、オペレーティングシステムに関する幅広いスキルをカバーする基本的な認証です。これは、ITキャリアを始めたばかりの人や基本的な技術スキルを証明したい人に適しています。CompTIA A+試験は220-1001と220-1002の2つの部分から成り立っています。220-1001試験はコンピュータハードウェア、ネットワーキング、接続のトラブルシューティング、モバイルデバイス、IoT、クラウドタイプなどの基本に焦点を当てています。220-1002試験はオペレーティングシステム、セキュリティ、運用手順、カスタマーサポートスキルに焦点を当てています。CompTIA A+には正式な事前要件はありませんが、試験に挑戦する前に9〜12ヶ月の実務経験を持つことが推奨されます。
- CC – Certified in Cybersecurity ISC2 50ドル* (ISC2のメンバーであれば50ドルで無料)
CC認証は、学生、新卒者、キャリアチェンジャーに最適で、サイバーセキュリティの世界に入るための基礎を築くことができます。また、技術職に従事している人がセキュリティの側面を理解し、強化するためにも適しています。CC認証試験は、サイバーセキュリティの原則と概念、セキュリティ管理、運用セキュリティ、インシデント対応の4つの主要分野に焦点を当てています。このテストは、さまざまなシナリオで基本的なサイバーセキュリティの実践を理解し適用する能力を確認することを目的としています。
2. 初級ステージ – 「第一歩を踏み出した」
- CompTIA PenTest+ 349ドル
- SSCP – Systems Security Certified Practitioner ISC2 249ドル
- ITIL® 4 Foundation – ITサービス管理認証 383ドル
- CompTIA CySA+ 359ドル
- CCNA – Cisco Certified Network Associate 330ドル
- CEH – EC Council Certified Ethical Hacker 1199ドル
- GSEC – GIAC Security Essentials 949ドル
- Professional Cloud Security Engineer Google 200ドル
- AWS Certified Security – Specialty 300ドル
- CompTIA CASP+ Advanced Security Practitioner 452ドル
- GSE – GIAC Security Expert 3108ドル
- CompTIA Security+ 349ドル
- ISACA – CISA, CISM, CRISC, CDPSE, CGEIT, CSX-P 760ドル*(個別に)
- CISA(Certified Information Systems Auditor) – 情報システムの監査、コントロール、およびセキュリティに関するスキルを確認する認証。CISAは、組織のIT状態を監視および評価する責任を持つ人々に評価されています。
- CISM(Certified Information Security Manager) – 情報セキュリティ管理に焦点を当てた認証で、情報セキュリティポリシーと戦略の管理に責任を持つ管理者やリーダーに最適です。CISMは、セキュリティプログラムの管理と設計のスキルを強調しています。
- CRISC(Certified in Risk and Information Systems Control) – ITリスクの特定と管理、およびシステムコントロールの実装に従事する専門家向けの認証。CRISCは、ITリスク管理とその影響を管理する責任を持つ人々に向けられています。
- CDPSE(Certified Data Privacy Solutions Engineer) – データプライバシーソリューションの設計と実装に関する最新の認証で、データ保護規制に準拠するためのソリューションを設計する専門家に最適です。
- CGEIT(Certified in the Governance of Enterprise IT) – ITガバナンスの管理、コンサルティング、および保証を担当するリーダー向けの認証。CGEITは、情報技術を通じて企業に価値を提供することに焦点を当てています。
- CSX-P(Cybersecurity Practitioner Certification) – サイバーセキュリティの実践的な認証で、セキュリティシステムの設計、管理、および運用に従事する専門家に向けられています。CSX-Pは、実際の作業環境でのスキルを示す必要があります。
- CCSP – Certified Cloud Security Professional ISC2 599ドル
- CISSP Certified Information Systems Security Professional 749ドル
- CCSK Certificate of Cloud Security Knowledge CSA 395ドル
- Pentesterlab – 最も優れた学習プラットフォームです。Louis Nyffeneggerは、多くの脆弱性について独学できるプラットフォームを提供し、その脆弱性の詳細な解説も多く含まれています。
- WebSecurityAcademy – 無料のエクササイズプラットフォームで、コミュニティによる多くの資料があります。Burp Suiteの基本機能を学ぶのに最適です。
- INE Security – 試験はペネトレーションテスターの仕事の本質をよく反映しており、「root」権限の取得だけでなく、アプリケーションの他のすべての脆弱性を見つけ出し、良好なレポートを作成することが重要です。
- Adam Haertleのコース/ウェビナー – Zaufana Trzecia Strona
- Sekurak Academyのコース/ウェビナー – Sekurak Academy
- Niebezpiecznikのコース/ウェビナー – Niebezpiecznik トレーニング
- Jakub Mrugalskiのコース/ウェビナー – Mrugalski.pl
- Kacper Szurekのコース/ウェビナー – Security by Szurek
CompTIA Network+は、すでに基本的なIT知識を持っている人、例えばCompTIA A+の認証を持つ人や、ネットワーク専門分野でスキルを伸ばしたい人に最適です。これは、ネットワーク技術者、ネットワーク管理者、システム管理者、サポート専門家として働く人々にも良い選択です。CompTIA Network+試験は、ネットワークデバイスの設定、管理、およびメンテナンス、スイッチやルーターなどのデバイスを使用してネットワークトラフィックをセグメント化し、効率的なネットワークを構築、ネットワークセキュリティの標準の実装、ネットワークのトラブルシューティング、ネットワークプロトコルの理解、ネットワークインフラストラクチャの要素、およびネットワーク操作とセキュリティに関連するサービスをカバーしています。
CompTIA PenTest+認証は、セキュリティ専門家、ペネトレーションテスター、セキュリティアナリスト、セキュリティエンジニア、および情報セキュリティ分野で働き、ペネトレーションテストのスキルを伸ばしたい人に最適です。CompTIA PenTest+試験は、ペネトレーションテストを効果的に実施するために必要な5つの主要分野をカバーしています。計画と認識(Planning and Scoping)、スキャンと活用(Scanning and Exploiting)、ドキュメンテーションと報告(Documentation and Reporting)、分析とコミュニケーション(Analysis and Communication)、ペネトレーションテストの方法と技術(Penetration Testing Methods and Techniques)です。
SSCP認証は、システム、ネットワーク、およびセキュリティ管理者、ITサポート専門家、および情報システムの運用とセキュリティに従事するエンジニアに最適です。また、情報セキュリティ管理者を目指す人にとっても価値があります。SSCP試験は、ITセキュリティ専門家にとって重要な7つの主要ドメインをカバーしています。セキュリティ管理と管理(Security Administration and Management)、ネットワークと通信のセキュリティ(Networks and Communications Security)、アクセス制御(Access Controls)、監視と分析(Monitoring and Analysis)、インシデント対応と回復(Incident Response and Recovery)、暗号操作(Cryptography)、リスク管理と回復(Risk, Response, and Recovery)です。
ITIL® 4 Foundation認証は、現代のプラクティスと原則に基づいたITサービス管理(ITSM)に関する知識を提供する基本的な認証です。この認証は、ITILの概念と用語を紹介し、ITサービス管理システムの構造と基本要素を理解するためのものです。ITIL 4 Foundationのコースと試験は、ITサービスを通じてビジネス価値を創出する方法、管理の重要な原則とプラクティス、サービス価値チェーンモデル、サービス管理の4つの次元をカバーしています。この認証は、ITで働く人々にとって特に価値があり、ITサービス管理を通じてビジネス価値を効果的にサポートし、向上させる方法を理解したい人々に最適です。
3. 中級レベル – 「もう少し進んだ」
CompTIA CySA+(Cybersecurity Analyst)認証は、サイバー脅威を検出し防止するために必要な分析技術に焦点を当てた中級レベルの認証です。CySA+試験は、ネットワーク監視、脅威の分析、結果の解釈、および対策の提案に関連するスキルをカバーしており、セキュリティオペレーションに従事する人々に最適です。CySA+は、情報リスク管理、監査の実施、インシデント対応、および予防策の実施に関連するスキルを提供します。
CCNA(Cisco Certified Network Associate)認証は、ネットワークコンセプトの堅実な理解と、Ciscoテクノロジーを基盤としたネットワークの設定、管理、およびトラブルシューティングに関する実践的なスキルを持つ専門家を対象としています。CCNA試験は、ネットワークの基礎、ルーティングおよびスイッチング、ワイヤレスネットワーク、ネットワークセキュリティ、クラウドコンピューティングなどの 幅広いトピックをカバーしています。CCNA認証は、ネットワーク管理者、ネットワークエンジニア、技術サポート専門家、ネットワークアナリストとして働く人々にとって重要なステップです。
CEH認証は、その理論的な性格が批判されることもありますが、リクルーターに非常に人気があります。これは、ペネトレーションテストを実施し、情報システムのセキュリティを攻撃者の視点から評価するためのスキルと知識を得るための認証です。CEHプログラムは、ネットワークスキャン、ペネトレーションテスト、ウイルスとワームの分析、リバースエンジニアリング、DoS攻撃の脆弱性テストなど、広範なトピックをカバーしています。CEHは、セキュリティアナリスト、システムおよびネットワーク管理者、監査人、そして組織のセキュリティを担当するプロフェッショナルに向けられています。
GSEC(GIAC Security Essentials)認証は、Global Information Assurance Certification(GIAC)が提供する重要な認証の1つで、ITセキュリティの基本を理解するために必要な実践的な知識と理論的な知識を提供します。この認証は、リスク管理、ネットワーク攻撃の防御、暗号化、オペレーティングシステムのセキュリティ、およびネットワークプロトコル管理の基本をカバーしています。GSEC認証は、システム管理者、セキュリティ専門家、そして効果的な防御戦略を実装することを望む人々にとって理想的です。
GoogleのProfessional Cloud Security Engineer認証は、Google Cloud Platform(GCP)のセキュリティインフラストラクチャの設計、開発、および管理において最高の実践とセキュリティツールを利用する能力を持つセキュリティエンジニアを対象としています。この認証は、クラウドネットワークの設定、アクセス管理、リスク管理、データ解析、およびクラウドでのアプリケーションセキュリティに関する深い知識を要求します。Googleのセキュリティツール、例えばCloud Security Command Center(SCC)、Cloud Armor、Identity-Aware Proxyなどの使用に関する知識も必要です。
AWS Certified Security – Specialty認証は、Amazon Web Services(AWS)上でアプリケーションとインフラストラクチャのセキュリティを確保するための深い知識とスキルを持つ経験豊富なIT専門家を対象としています。この高度な認証は、AWS環境でのデータとシステムの効果的な保護を確認するもので、複雑なクラウドセキュリティ問題に特化しています。この認証を取得するには、リスクの識別と緩和、セキュリティ管理の実装、クラウドセキュリティの自動化、アイデンティティとアクセス管理、データ保護などの主要分野でのスキルを証明する必要があります。
4. 上級レベル – 「良くできた!」
CompTIA CASP+(CompTIA Advanced Security Practitioner)認証は、リスク管理、セキュリティリサーチ、そして高度なセキュリティソリューションの実装に関するスキルを伸ばしたい経験豊富なIT専門家向けの高度な認証です。CASP+試験は、セキュリティアーキテクチャの設計、システムセキュリティの統合、脅威分析、リスク管理、インシデント対応、セキュリティポリシーおよび管理など、広範なトピックをカバーしています。CASP+は、セキュリティアナリスト、セキュリティアーキテクト、セキュリティスペシャリスト、ITセキュリティマネージャーなどの役割を担う人々に最適です。
GSE(GIAC Security Expert)認証は、GIAC(Global Information Assurance Certification)が提供する最も権威ある高度な認証の1つで、6つの個別試験の合格を要します。GSEは、ネットワークセキュ リティの多様な分野で深い技術的知識と実践的スキルを示すための認証で、書面試験に加え、リアルなシナリオでのスキルを評価する実技試験も含まれます。この認証は、アドバンストな分析、インシデント管理、リバースエンジニアリング、ペネトレーションテストなどのスキルをカバーしています。GSEは、その難易度と包括性から、セキュリティ分野での最上級の達成と見なされており、取得者は業界のエキスパートとして高く評価されます。
5. マスター レベル – 「あなたはエキスパート!」
CompTIA Security+は、世界中で認知されている主要な基本的なサイバーセキュリティ認証の1つであり、価格も手頃です。この認証は、基本的なデジタルセキュリティの概念を理解し、ITインフラストラクチャのセキュリティを確保する責任を持つ人々に最適です。Security+認証は、システムの整合性、機密性、および可用性を確保するためのタスクの実行、リスクの特定、およびセキュリティインシデント対応への参加能力を確認します。試験は、暗号化、アイデンティティとアクセス管理、ネットワークとアプリケーションのセキュリティ、脅威と脆弱性に関連する重要なトピックをカバーしています。
OSCP – Offensive Security Certified Professional 1499ドル
OSCP(Offensive Security Certified Professional)認証は、Offensive Securityが提供する最も要求される権威あるペネトレーションテストおよび倫理的ハッキングの認証の1つです。この認証は、ペネトレーションテストに必要なツールと技術を実践的に活用するスキルを持つプロフェッショナルを対象としています。OSCPは、リアリスティックで実践的なアプローチに焦点を当てており、24時間の実技試験では、複数のマシンやネットワークに侵入する必要があります。この試験は、技術スキルだけでなく、創造的な思考と問題解決能力も求められます。OSCPトレーニングプログラムは、脆弱性の特定、利用方法、システムの権限エスカレーションに関する技術を教え、幅広い攻撃技術をカバーしています。
ISACAは、監査、管理、セキュリティ、および情報と技術のリスク管理に従事する人々のために、認証、研究、実践的なリソースを提供する国際的な専門組織です。以下の広く認知されている認証を提供しています:
これらのISACAの認証は、それぞれ特定のキャリア目標やニーズに対応しており、ITとセキュリティの分野での専門家としての信頼性を高め、職場での貢献を効果的にするための堅実な基盤を提供します。
CCSP(Certified Cloud Security Professional)認証は、データ、アプリケーション、およびインフラストラクチャの設計、管理、セキュリティに特化したセキュリティ専門家向けの高度な認証です。特にクラウドアーキテクト、セキュリティ管理者、システムエンジニア、およびセキュリティコンサルタントに価値があります。CCSP試験は、クラウドセキュリティアーキテクチャと設計、セキュリティ運用管理、脅威の識別とリスク分析、クラウドデータの規制順守、クラウドアプリケーションのセキュリティ、および暗号化技術の実装に関する深い知識を確認します。この認証は、クラウドセキュリティの技術的知識と実際のシナリオでの適用能力を証明します。
Azure Security Engineer Associate Microsoft 110ドル
Azure Security Engineer Associate認証は、Microsoft Azure環境でデータ、アプリケーション、およびインフラストラクチャのセキュリティを専門とするIT専門家向けです。この認証は、Azure環境のセキュリティ体制管理の一環として、ハイブリッド環境でのセキュリティ実装スキルを確認します。この認証を持つ専門家は、アイデンティティとアクセス管理、Azureプラットフォームの保護、データとアプリケーションの管理、およびネットワーク管理に関するスキルを持ち、データ保護に関連する高度な脅威の設定やセキュリティインシデントへの対応を行う責任があります。この認証は、Azure Security Center、Azure Firewall、Azure Monitorなどのツールと技術を理解していることを求めます。
6. 最高レベル – 「達成!引退してもいいよ!」
CISSP(Certified Information Systems Security Professional)認証は、(ISC)²が提供する最も権威ある認証の1つであり、最高の給与が期待できるとされています。CISSPは、プログラムの設計、実装、および管理に関する深い知識を持ち、組織を攻撃から保護するためのスキルを証明します。CISSPは、リスク管理、資産のセキュリティ、セキュリティエンジニアリング、通信ネットワーク、アイデンティティとアクセス管理、セキュリティテスト、セキュリティ運用、ソフトウェアセキュリティなどの多様な分野をカバーしています。この認証を持つ専門家は、セキュリティエンジニア、セキュリティディレクター、セキュリティコンサルタントなどの高い役職を担うことが多く、その専門知識が評価され、キャリアアップに役立ちます。
CCSK(Certificate of Cloud Security Knowledge)は、Cloud Security Alliance(CSA)が提供する認証で、クラウドセキュリティの基礎知識を証明します。この認証は、クラウドインフラストラクチャの保護に関する基本的な原則、ベストプラクティス、およびセキュリティ戦略に焦点を当てています。CCSKは、クラウドに関連するリスクを理解し、クラウド環境で効果的にリスクを管理する方法を学ぶために、ITおよびセキュリティの専門家に最適です。CCSKプログラムは、クラウドアーキテクチャ、アイデンティティとアクセス管理、Webアプリケーションのセキュリティ、クラウド操作、およびコンプライアンスと監査などの幅広いトピックをカバーしています。この認証を取得することで、候補者はクラウドセキュリティのベストプラクティスと標準に関する堅実な基盤を持ち、クラウドソリューションの設計、実装、および管理において効果的なセキュリティ対策を講じる能力を証明します。
主観的な評価と推奨教材
個人的な意見かもしれませんが、学習の最良の基盤は学術的な秩序であると考えています。情報技術の始まりは大学の研究から生まれ、後に民間企業によって商業化されました。そのため、サイバーセキュリティのキャリアを学術的な基盤から始めることをお勧めします。堅実な基礎を持つことで、商業的な認証を取得するのが容易になります。商業的な教材については、以下のものをお勧めします(順不同):
私たちの国内では、以下の コースやウェビナーに参加して知識を得ることをお勧めします: