サイバーセキュリティの各役割に対する視える化 CompTIA(コンプティア)の認定資格 「NIST SP800-181(NICEフレームワーク)」への マッピングを公開
セキュリティ人材育成向けのフレームワークとして、IT業界内外で関心高まる
ワールドワイドで100ヵ国以上の国と地域で取得されている認定資格を提供するCompTIA日本支局(本部:米国イリノイ州/日本支局長 Dennis Kwok【デニス クォック】)は、CompTIA(コンプティア)米国本部が検証した、アメリカのサイバーセキュリティ基準であるNICEフレームワーク(NIST SP800-181)に対するCompTIA認定資格のマッピングを発表しました。
米国では、2009年に発表されたCNCI(Comprehensive National Cybersecurity Initiative:包括的全米サイバーセキュリティイニシアチブ)に基づき、NIST(National Institute of Standards and Technology:米国国立標準技術研修所)を中心にサイバーセキュリティの普及啓蒙、人材育成が推進されてきました。この取り組みの中で、セキュリティ対策基準「NIST SP800-181(NICE Cybersecurity Workforce Framework)」のフレームワークが策定されました。
この基準では、専門分野ごとに「役割」が分類され、「役割」ごとに遂行できる「業務」、「業務」に必要となる「知識、技術、能力」が定義されています。
2011年に発足したサイバーセキュリティ専門家の育成、教育機関におけるサイバーセキュリティ教育などを推進するNICE(National Initiative for Cybersecurity Education)の参加者によって作成されたこのフレームワークは、20以上の米国連邦政府部門と機関が関与しています。
日本でも、2019年からは、セキュリティ対策基準「SP800-171」※注1 相当の対策を求める、新防衛調達基準の試行導入が始まります。主に防衛関連産業を中心に対応が求められているのですが、米国政府と取引をするのであれば、「SP800-171」に準拠したITシステムに移行しなくてはならないのは当然のこと、北米事業を行う日本の企業は当該情報を取り扱っている可能性が高く、グローバル展開をしている企業であれば、米国政府と直接的に取引していなくても、「SP800-171」に準拠する必要が出てきます。さらには、政府調達において直接取引する企業だけでなく、それらの企業とサプライチェーンでつながる企業にも影響を及ぼす可能性があり、多くの企業において、NIST SP800-171への準拠が求められることになってくるでしょう。
こうした背景を考えると、実質的にセキュリティ人材育成のグローバルスタンダードであり、それに合わせてSP800-171とも親和性が高いNICEフレームワークは、国内でも積極的に活用されていくことでしょう。
CompTIA(コンプティア)が提供するCompTIA A+、Network+、Security+、CySA+、CASP+などの多くの認定資格は、主要なサイバージョブの役割とベストプラクティスに重点を置いて定期的に更新されており、NICEフレームワーク(NIST SP800-181)と高い親和性があります。
CompTIA認定資格を取得することで、自身のサイバーセキュリティに関するスキルを検証すると共に、FISMAやDoD 8570/8140のような米国政府の要件を満たすことが可能となります。
日本国内でグローバルに事業を展開する企業においても、「NICEフレームワーク(NIST SP800-181)」への準拠を見据えた実践的なサイバーセキュリティ人材の育成を進めており、CompTIA認定資格との相関は、今後合理的、効果的な育成に役立ちます。
尚、今後の取組として、SecBok等の人材スキルマップに対してもマッピングを予定しています。
CompTIA(コンプティア) シニアコンサルタントの板見谷 剛史は、「CompTIA認定資格は、NICEフレームワークにおいて、各役割の“コアスキル”の見える化の役割を果たします。企業の人材育成では社員のスキルの見える化に、採用時では採用基準として活用できます。また、求職者の方は、CompTIA Cybersecurity Career Pathwayも参照しながら、自身のキャリア形成に役立てていただくことが可能です。」と述べています。
CompTIA(コンプティア)シニアコンサルタント板見谷 剛史
コンプティア サイバーセキュリティ キャリアパス
CompTIA(コンプティア)は、サイバーセキュリティ人材の育成、人材の流通に関し、NICEと多くの取り組みをしています。サイバーセキュリティ人材育成の適切なスキルパスや求人情報、雇用のための情報を得るためのWebサイト「CyberSeek」もその一つです。
CyberSeekサイトは、全米のサイバーセキュリティプロフェッショナルの需要をより的確に把握し、雇用につなげます。また適切なポジションを得るために必要となるスキルパスを提示し、スキルギャップを埋める取り組みをしています。
CyberSeek
※注1「SP800-171」とは
経済産業省 サプライチェーンサイバーセキュリティ等に関する海外の動き 参照
http://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/wg_1/pdf/001_05_00.pdf
【CompTIA(コンプティア)について( http://www.comptia.jp )】
1982年、様々なIT規格の標準化を提言するため、ITベンダーとパートナー企業がオープンな対話を行う場なるべくグローバルなIT業界団体としてシカゴで設立。1990年、IT業界の活動を反映するべく、名称をCompTIA(the Computing Technology Industry Association)に変更。欧米を中心とし10拠点に拡大し、2001年4月にCompTIA(コンプティア)日本支局を設立。
2018年現在、CompTIA(コンプティア)は、ICT業界を中心にした2,000社以上のメンバー企業、3,000社以上の学校機関、トレーニング関連の企業とのパートナーシップを締結し、数万人を超えるITプロフェッショナルのコミュニティを運営しています。IT業界団体として、ITハードウェア/ソフトウェア、サービスを提供する企業や、業界のキーとなるITプロフェッショナルなどの成功と成長に貢献できるよう、ITに携わる企業や個人の利益を高めるための「教育」、CompTIA認定資格での「認定」、IT業界の声を反映しIT政策に反映するための「政策支援活動」、IT業界への「社会貢献」の4つを柱として活動を続けています。
【CompTIA認定資格について( http://www.comptia.jp/cont_certif.html )】
1993年に、Windowsのリリースを始めとするIT環境の変化に伴い、ITを管理する人材の必要性の高まりから、ビジネス環境において利用されているITハードウェア/ソフトウェアを理解し、より複雑なIT環境の管理、サポート、運用を行うスキルを評価するCompTIA A+の提供を開始。その後、IT環境の変化に伴い、ネットワーク管理者の必要性が高まりCompTIA Network+、セキュリティ人材のニーズに応じCompTIA Security+の提供と、その時代に即した人材を効率的に輩出できるように認定資格が開発されています。CompTIA認定資格は、業界のエキスパートにより開発され、実践力、応用力を評価するベンダーニュートラルの認定資格として、法人を中心にワールドワイドで200万人以上に取得されています(2018年4月現在)。CompTIA A+、Network+、Security+、CySA+、CASP+は、認定資格の人材評価の有効性が認められ、IT認定資格としては数少ないISO 17024の認定を受け、信頼性の高い認定資格として評価されています。日本国内では、ワールドワイドのスキル基準での人材育成を行う企業を中心に、導入が進められています。
2018年4月現在、Network+など14分野におよぶ業務に関する認定プログラムを提供しています。