サイバーセキュリティ資格は仕事に必須ではありません。しかし、CISOの履歴書の価値を高め、キャリアを後押しすることができます。
CISOとしてのキャリアを後押しするサイバーセキュリティ資格を確認しましょう。
写真:Elnur – shutterstock.com
サイバーセキュリティの資格は、既存の専門知識を際立たせ、信頼性を高め、昇進の機会を開くことができます。さらに、サイバーセキュリティ資格は、上級のサイバーセキュリティ専門家が進化する脅威の最新動向を把握し続ける助けにもなります。加えて、人脈づくりを容易にし、コンプライアンスやリスク管理のスキルを証明することにもつながります。
「資格はサイバーセキュリティのあらゆる領域とスキル――つまり、物理的、技術的、管理的、運用的――をカバーします。さらに、特定のハードウェアメーカーや特定の種類の技術、たとえばランサムウェアのようなものに非常に強く焦点を当てたものまであります」と、IEEEメンバーでコンサルティング会社The Privacy Professorの創設者であるRebecca Herold氏は説明します。
しかし、資格を集め始める前に、サイバーセキュリティのどの分野で働きたいのかを見極めるべきだと、同氏は助言します。「キャリアの中で決して使うつもりのない業務を扱い、そのための知識やスキルを要求する資格を目指しても意味がありません。」
Herold氏によれば、サイバーセキュリティ資格には次の利点があります:
-
関連する資格に紐づく形で、あなたのサイバーセキュリティ能力を検証できる。
-
この分野にとどまり、次々と別のキャリアへ移るのではないことを示すことで、職業上の信頼性を築ける。雇用主は長期的に働く従業員に投資したがる。
-
多くの企業が、こうした資格取得に時間をかけた候補者を好むため、キャリアをより速く前進させる助けになる。
-
業界内の他者からあなたのスキルが認められるようになり、長く成功するキャリアにとって重要となる。
-
より多くのネットワーキング機会の土台を作り、そこでさらに知識を得たり、将来の仕事の機会を見つけたりできる。
-
各種資格の取得を通じて学ぶ、標準化されたサイバーセキュリティ概念を理解していることを示せる。
-
継続的な学習、知識の最新化、そして職業的成長へのコミットメントを証明できる。
-
昇給交渉の場面でも役立つ。
次の5つのサイバーセキュリティ資格は、あなたのキャリアを後押しします:
1. CISSP – 情報システムセキュリティ認定プロフェッショナル
国際的な非営利団体であるISC2が提供するCISSP認定は、DefenseStormのCISOであるWilliam Wetherill氏によれば、ITセキュリティの概念とベストプラクティスを包括的に理解していることを示したい専門家にとって、広く認知された資格です。
「この資格は幅広いセキュリティテーマをカバーします。たとえば資産セキュリティ、セキュリティエンジニアリング、リスク管理などです」とCISOは述べます。「CISSPはより高い基準を持っており、セキュリティ専門家に対して豊富な実務経験と、評価の高いISC2のCISSP保有者からの推薦を求めます。」
Wetherill氏によれば、そこで得られるスキルは、効果的なセキュリティ戦略の策定や、CISOとしての役割におけるベストプラクティスの実装にとっても重要です。
Blue MantisのSecurity Practice LeadであるJay Martin氏も同意します。「本当にキャリアを次の段階へ引き上げたいなら、CISSPは最高峰です」。さらにNetSPIのCISOであるJoe Evangelisto氏は、CISSPはいまなお業界のデファクトスタンダードであり、CISO向けのあらゆる職務記述書に記載されていると付け加えます。
Vectra AIのAmericas CTOであるBrian Neuhaus氏も、CISOにとってCISSPが最優先であるべきだという点に同意します。「この種の資格を保有していることは、トップクラスのセキュリティプログラムを実装・運用するために必要な知識と技術スキルを備えていることを示します」と同氏は言います。
CISSPや同様の資格は容易に取得できるものではありませんが、セキュリティ専門家はキャリアを効果的に前進させるために継続的に取り組むべきだとNeuhaus氏は述べます。「さらに、CISSPは履歴書を審査する雇用主の注意を引き、他の応募者との差別化にも役立ちます」とVectraのCTOは付け加えます。
要件:この資格を取得するには、試験に合格し、ISC2 CISSP Common Body of Knowledge(CBK)の8分野のうち2分野以上で、累計5年以上の有給実務経験を証明する必要があります。5年の実務経験要件は、他の実績によって代替できる場合があります。
2. CCSP – クラウドセキュリティ認定プロフェッショナル
ISC2の比較的新しい資格の一つで、GuruculのVP of Product SolutionsであるSanjay Raja氏が重要だとするのが、ベンダー中立のCertified Cloud Security Professionalです。「世界的に認知されたCCSPは、クラウド上のデータ、アプリケーション、インフラを効果的に設計・監視・保護するための高度な技術的専門知識と理解を備えていることを証明します」とRaja氏は説明します。
「CISSPに似ていますが、よりクラウドセキュリティに焦点を当てています。クラウド技術を支援している、または集中的に利用しているCISOにとって良い選択です。」
要件:このサイバーセキュリティ資格の受験資格を得るには、試験に合格し、IT分野で合計5年以上の実務経験が必要です。そのうち3年は情報セキュリティ分野、さらに1年はISC2 CCSP CBKの6分野のうち1分野以上での経験が求められます。ここでも、5年の実務経験要件は他の実績で代替できる場合があります。
3. 認定情報セキュリティマネージャ(CISM)
ISACAが提供するCertified Information Security Manager(CISM)は、CISOにとってもう一つの重要な資格です。情報セキュリティプログラムの管理と監督を担う専門家向けに特別に設計されています。
「CISMは、企業全体の目標に整合した効果的な情報セキュリティ戦略をどのように策定・実装するかについて重要な知見を提供し、同時にリスク管理、インシデント管理、情報セキュリティガバナンスなど幅広いテーマをカバーします。これらはCISOの役割にとって極めて重要です」とDefenseStormのWetherill氏は述べます。
この資格は、ビジネス運用と厳格なセキュリティ対策を両立させるために必要なスキルと知識を提供し、CISSPがより技術寄りであるのに対し、マネジメントやリーダーシップの能力により重点を置いています。「ISACAはCISO向けにもCISMを含む優れた資格をいくつも提供しています」とGuruculのRaja氏は付け加えます。この資格は、プログラムを管理するための堅牢なツールとトレーニング一式を提供するということです。
ガバナンス、リスク、コンプライアンス、またはセキュリティマネジメント寄りの方向性を目指すCISOには、ISACAのCISMを強く推奨すると、Blue MantisのMartin氏は補足します。
要件:この資格を取得するには、試験に合格し、合格後5年以内に認定申請を行い、情報セキュリティ分野で5年の実務経験を証明する必要があります。さらに、職務実践の分析領域のうち3領域以上で、ITセキュリティマネジメントにおける実務経験が少なくとも3年必要です。5年の実務経験要件については、例外および代替が認められています。
4. 認定情報システム監査人(CISA)
DefenseStormのCISOによれば、Certified Information Systems Auditorも重要な資格の一つです。ISACAは、企業の情報セキュリティおよび業務システムの監査、監視、評価を担う専門家向けに提供しています。
「CISAは世界的に認知され、IT業界で高く評価されています。情報セキュリティ監査、統制、保証の分野における知識とスキルを証明することが求められます」とWetherill氏は述べます。「CISAは、情報セキュリティ領域の脆弱性やリスクをどのように特定し、分析し、評価するかについて包括的な理解を提供します。」こうしたスキルは、CISOが業務を効果的に遂行し、企業をサイバー脅威から守るために不可欠だといいます。
WatchGuard TechnologiesのCSOであるCorey Nachreiner氏は、「CISAのように、監査人のような専門的なセキュリティ業務により適した資格もあります」とコメントします。「ISACAのCISAは、企業のサイバーセキュリティ監査に注力する場合に役立ちます。」
要件:この資格を取得するには、試験に合格し、合格後5年以内に認定申請を行う必要があります。さらに、情報システムの監査、統制、またはセキュリティにおける実務経験が少なくとも5年必要です。そのうち少なくとも2年はCISAの実務領域に該当する必要があります。5年要件については、例外および代替が認められています。
5. GIAC 戦略的計画、ポリシー、リーダーシップ(GSTRT)
SANS Instituteが提供する戦略的計画、ポリシー、リーダーシップに関するGIAC認定は、キャリアの次のステップに進むための知識とスキル、すなわち企業に整合した戦略計画を策定する能力を備えていることを示すと、Sans InstituteのフェローであるFrank Kim氏は述べます。
「技術的な詳細を超えて、経営陣や取締役会とより効果的にコミュニケーションを取る必要がある場合、この資格は、戦略目標に整合し、ロードマップを作成し、ビジネスケースを構築し、セキュリティポリシーを策定し、チームを成功へ導く方法を理解していることを示します」と同氏は説明します。
要件:この資格を取得するには、該当する試験に合格する必要があります。
ドイツでも特に需要が高い
「総じて、上記の資格は非常に有用です」と、CISO Allianceの会長であるRon Kneffel氏はまとめます。「いずれも標準や規格に依存せず、ITセキュリティとの強い関連性があります。これらの資格はドイツでも高く認知されており、特に大企業の環境では、専門性の証明として繰り返し求められます。」
Neuhaus氏によれば、サイバーセキュリティ分野でキャリアを築くうえで、資格は必須ではないことを理解しておくことが重要です。「しかし、そこに含まれる情報は、業界で道を切り開くうえで計り知れない価値を持ち得ます」とVectra AIのCTOは付け加えます。「したがって、サイバーセキュリティ分野で求められる人材は、資格の数だけに限定されるものではありません」。それでも、CISOは資格以外の資質、強み、特性を見失うべきではないとNeuhaus氏は結論づけます。
おすすめ記事: 「次世代」CISOになるために必要なこと
