【社員対談企画】ITエンジニアの注目度No.1の「情報処理安全確保支援士試験」。合格者が語る、資格取得のきっかけと活かし方
こんにちは!
サイバーセキュリティクラウド広報の竹谷です。
数ある情報処理系の資格の中でも、エンジニアからの注目度が高い「情報処理安全確保支援士」。略称「登録セキスぺ」と呼ばれるこの資格は、サイバー攻撃などが年々増加する中、セキュリティ人材の確保を目的として2017年につくられた国家資格です。
IT系初の「士業」である登録セキスぺの合格率は20%以下。サイバーセキュリティクラウド(以下「CSC」)には、その高難度の資格を保有し活躍する社員がいます。
今回はそのうちの2名に、資格を取得した理由や具体的な勉強方法、どのように日々の業務に活かしているかを聞きました。セキュリティエンジニアの仕事に興味がある方や、今後資格を取りたいと考えている方は参考にしてみてください!
高い専門性を必要とする「登録セキスペ」は、セキュリティエンジニアのキャリア構築に有効な資格
ー大神田さんは、CSC入社前に登録セキスペを取得されたそうですね。
大神田:私は前職で金融系システムの開発をしていた頃から、アプリケーション開発以外にもエンジニアとしての強みを増やしたいと考えていました。その中で興味を持ったのがセキュリティ分野です。
幅広いセキュリティ知識が必要な登録セキスペの勉強を進める中で、サイバーセキュリティのおもしろさや、セキュリティエンジニアの「社会貢献度の高さ」に魅力を感じるようになりました。
資格取得後は、スキルを活かしてCSCに転職。登録セキスペの取得は、キャリア転換のきっかけにもなっていますね。
ー一方で、CSC入社後に登録セキスペに挑戦した後藤さんですが、受験を考えた理由を教えてください。
後藤:私は、セキュリティ業界に骨を埋める覚悟でCSCに転職しました。登録セキスペは、セキュリティエンジニアとして今後さらにステップアップする上で、必ず役に立つと考えたんです。
私の専門領域は企業のWebアプリケーションにおける脆弱性診断です。Webアプリの脆弱性は多種多様であり、時には内部の構造がわからない状態で知識を元にして手探りで診断を進めざるを得ない場合もあります。
しかし、登録セキスペの試験では、プログラミングレベルでの脆弱性の発生要因など、「脆弱性の原理」に関する知識も必要とされます。試験勉強を通して、脆弱性の原理やその対策法を改めて学ぶことで、日常業務における脆弱性診断の進行や、対策方法の提案に活かせると思ったんです。
資格の取得自体も大切ですが、学習することで得られる知識やノウハウを、実際の業務に活用できたらと考えていましたね。
資格を取得したことで自信を持ってアドバイスができるように
ー情報処理技術者試験の中でも特に難易度の高い資格ですが、取得する際に苦労したことはありますか?
大神田:まとまった学習時間を作るのには苦労しました。ちょうど子供が生まれた時期だったので、土日に集中して勉強することも難しくて。
テキストをもとに基礎知識をつけて、過去問題を解くような座学での時間がなかなか取れなかったので、YouTubeの試験対策動画を使って、寝かしつけをしながらインプットしたりもしました。試験勉強には、2〜3ヶ月は要したと思います。
後藤:私も試験日の2ヶ月前位から準備を始めましたが、年度末のチームの繁忙期と重なったため、働きながら勉強時間を捻出するのが想像以上に大変でした。できれば半年位前から計画を立てて、毎日コツコツ学習を進めることをおすすめします。
また、今秋以降の試験では午後問題の内容がガラッと変わっているみたいなので、今後受験をされる方は今秋の試験結果や参考書のアップデート内容を確認して、最新の出題傾向をつかんでおいた方が良いと思いますね。
ー登録セキスペを取得されての学びや、実際の業務に活かされていることがあれば教えてください。
大神田:これまで以上に、信憑性が高く的確なアドバイスが社内横断的にできるようになりました。
特にセキュリティチームは、他部署から専門的な意見やレビューを求められる場面が多々あります。例えば、お客様からの専門的な質問が寄せられれば、私たちが検証してサポートチームにフィードバックすることも。
その際に、登録セキスペで得た知識が活かされていますし、何より私自身が自信を持って回答できるようになりました。
後藤:私の場合はお客様に対して、脆弱性についての説明や対策方法についての説明ネタの幅が増えたと感じています。これは、試験勉強の過程で、実践的な知識が蓄積された成果だと思います。
実際の試験では、脆弱性の発生原理やタイムリーな「脆弱性に起因するセキュリティインシデント」に関する問題が、多数出題されています。試験の内容全てが応用できるわけではありませんが、脆弱性の原理や悪用事例とその対処法に関する引き出しを増やすことで、お客様の安心感にも繋がる「説得力のある」提案ができていると感じています。
知識やノウハウを活かして新たな業務に挑戦。CSC全体にシナジー効果を
ー資格で得た知識やスキルをもとに、今後新たにチャレンジしたいことはありますか?
後藤:登録セキスペで得た学びを活かして、業務の幅を広げたいです。具体的には、マルウェア解析や脆弱性コードの検証なども今後挑戦できたらと思います。
加えて、専門領域以外の知識を身につけることは、部署全体にも良い効果をもたらすと考えています。例えば、私が製品のルールや設計に関する基礎知識があれば、実際のWebアプリでの事例を元にした有効なシグネチャの提案ができますし、同様に自社製品が探知している攻撃から実際の脆弱性診断で注意すべき点を割り出すことも可能です。
お互いが知識や情報を共有し、互いの領域を補填し合うことで、将来的に会社全体としてシナジー効果を発揮できたら良いですね。
大神田:私も同様に、個人のスキルアップはもちろん、資格で得た知識やスキルを積極的にチームメンバーにも共有していきたいと考えています。「社内のセキュリティ知識の向上」はチームとしての課題でもあるので、社内勉強会などを開催しながら、会社に還元したいですね。
今後も知識のアップデートを続けたい。CSCには自己啓発を応援する制度と環境が整っている
ー今後、他にも取得を目指している資格があれば教えてください。
後藤:同じくIPAが管轄する「ネットワークスペシャリスト(以下ネスペ)」は、機会があれば挑戦したいと思っています。現状はWebアプリの脆弱性診断の案件を多く担当しているものの、今後はサーバーそのものについての診断など、ネットワークの知識が必要とされる案件も担当することになるためです。
セキスペ同様もしくはそれ以上の高難度な資格ですが、ネスペを目指す上での知識は、今後のキャリア形成にも役立つと考えています。
大神田:私は、Microsoft AzureやGoogle Cloud Platformなど、代表的なパブリッククラウドサービスのセキュリティに関する資格に興味があります。
実際の案件でも扱うことが増えているため、これらの資格が取れれば、直近の業務にもすぐに応用できると考えています。
ー最後に、今後セキスペの取得を目指されている方に一言お願いします。
大神田:私は、セキュリティ業界に入る前に登録セキスペの勉強をしていたため、当時は理解できない単語が多く、丸暗記することもありました。しかし、CSCでセキュリティエンジニアとして日々働く中で、当時学んだ内容が点から線に繋がっていく感覚があります。
さらに、勉強中に分からないことがあれば、調べながら学びを深めるので、自身の「弱点」を知り克服することもできます。難易度が高い試験ではありますが、エンジニアとしてステップアップしたい、新しい領域にチャレンジしたいという方には、登録セキスペ取得は有効だと思います。
後藤:大神田さん同様、セキュリティに関する知識を体系的に学べたことが一番の収穫です。加えて、新しい分野について学ぶ習慣がつき、業務を遂行する上での自信にも繋がった点も、試験に挑戦して良かったと感じていますね。
あとがき
今回は 登録セキスぺを取得されている大神田さん、後藤さんにお話を伺いました。お二人とも、資格取得を最終目的とせず、日々の業務に学びを活かしながらキャリアアップしているのが印象的でした。
CSCでは、積極的に自己啓発に取り組む社員を応援するため、知識習得に必要な書籍購入補助制度や、資格取得後もスキルを活かせるフィールドを整えています。
セキュリティエンジニアに興味がある、セキュリティエンジニアとしてキャリア構築をしていきたいという方はエントリーをお待ちしております!
今後もCSC STORYでは、サイバーセキュリティクラウドで働く社員や魅力についてお伝えしていきます。