ISC2 認定保持者インタビュー
クラウドファースト時代の必須資格「CCSP」
CCSP(Certified Cloud Security Professional)は、ISC2が開発したクラウドセキュリティの専門家資格です。クラウドを安全に利用・運用するために、クラウドセキュリティのベストプラクティスをアーキテクチャやデザイン・運用・サービス連携などで展開できる深い知識と実践力が求められる、エンタープライズアーキテクト・セキュリティ管理者・システムエンジニア・セキュリティアーキテクト・セキュリティコンサルタントなどに有用です。グローバルでは7,000人以上が取得しており(2020年6月時点)、世界に通用する資格として国内でも人気が高まっています。
「CCSP」認定保持者インタビュー
セキュリティ事業本部
担当部長 CISSP, CCSP
秋葉淳哉氏
秋葉さんの簡単なプロフィールを教えてください
NTTアドバンステクノロジ株式会社(以下、NTT-AT)に入社する前は、NTT持株の研究所に20年以上勤務しており、直近はセキュアプラットフォーム研究所に所属していました。NTT入社当時は電話のデジタル化から始まり、ネットワーク基盤の構築やアプリケーション開発などを行い、最後にセキュリティ分野の研究・開発、および運用に携わりました。NTT-ATに入社してからは、主に新規事業や商材の開発を担当しており、複数分野の技術調査や評価を行っています。
CCSP取得のきっかけを教えてください
きっかけは、クラウドの台頭にあります。少し前までは、多くの国内企業は情報資産を社内インフラ以外のところに置くことに対してセキュリティ上の懸念から拒否反応を示し、クラウドの採用はなかなか進みませんでした。しかし、最近はアメリカを中心にデジタルトランスフォーメーションを実現する手段のひとつとしてクラウドファーストの動きが加速し、それを受けて国内でも柔軟性やコストの面で有利であることが認識され、クラウドサービスを採用する企業が徐々に増えてきました。
これからのIT環境はクラウド抜きには考えられませんが、そのような状況下で出会ったのがCCSPです。2019年6月にISC2主催の「 CCSPチャレンジセミナー」が開催され、社内で話題になったことで存在を知りました。残念ながら自分は参加できなかったのですが、参加した人に内容を教えてもらい、興味を持ちました。その後、公式ガイドブックと公式問題集を購入して勉強を始めました。といっても、1か月ほどは勉強していたものの、次第に気持ちがトーンダウンしまして(笑)。12月にNTT-ATで開催された ISC2公式トレーニングに参加したことで気持ちが再燃し、勉強を再開して4月に受験し、合格しました。
受験に向けて、どのような準備をしましたか?
基礎的な部分は通勤時の電車の中で学び、土日に集中して公式問題集を解きました。また、海外出張時などは移動時間を利用してまとめて勉強することができました。
ISC2による公式トレーニングも効果的でした。トレーニングでは、CCSPの考え方や試験の勘所を講師が丁寧に教えてくれます。こうした情報は復習する際にとても役立ちました。
NTT-ATでは定期的に社内向けの勉強会が開催されているのですが、いつかCCSP資格取得を目指す人を対象に勉強会を開催するという想定で、年末にまとまった時間を取ってトレーニング時の講師のコメントや資料をベースに要点をまとめたスライドを作成しました。それがとてもよい復習になり、知識に自信が持てるようになりました。
CCSPの試験で難しかった点はありますか? これから受ける人にアドバイスがあればお願いします
技術に関しては、詳細な知識が問われる問題は思ったほど多く出題されませんでしたが、体系的に理解できているかどうかを問う問題は多かったと記憶しています。クラウドセキュリティには関連するフレームワークが多数存在しますが、その名称と意味、開発サイクルの順番やデータモデルの構造、そのほか、データセンターの品質レベルを示すUptimeのガイドラインについては、各々のティアの定義や適用対象などを正確に把握することが重要だと思います。
難しかったのは、ある状況下におけるベストプラクティスや、一番初めにやらなければならないことを問うシナリオ問題です。たとえば、「織田信長の一番好きなものは何ですか」という問に対して、「お茶」「鉄砲」という選択肢が並ぶような、つかみどころが無い問題が数多く出ました。こうした問題については、設問中にある小さなヒントをきちっと見つけ出さなければなりません。それには公式問題集とトレーニングの両方が役立ちました。公式問題集には、あるシナリオ下において少しずつ異なる条件の設問が用意されており、選択肢で迷ったときの判断のポイントを学ぶことができました。また、トレーニングでは「CCSP的な考え方」やテクニックを教えてもらえます。これも、解答を選択するときの判断に役立ちました。
苦労したのは、各国の法制度関連の情報を覚えることでした。これらは、クラウドを活用する場合にぜひ知っておきたい知識です。たとえば利用するクラウドのデータセンターが海外にある場合、データセンターはその所在国の法規制が適用されます。司法当局の捜査でデータセンターが差し押さえられ、データが利用できなくなる可能性もあります。また、クラウドを使ったサービスを提供する際には、EUの一般データ保護規則(GDPR)をきちんと理解し、データの保存先やデータ漏えい時の通報義務などに遵守しなければ、厳しい処罰の対象となります。覚えるのは大変ですが、実務で役立つ知識ですので、ぜひ資格取得を通じて身につけたい領域です。
CCSP資格取得後、どのように役立っていますか?
クラウドは、クラウド事業者がセキュリティを担保する部分と、利用者側が担保する部分があり、これをクラウドの責任共有モデルと呼びます。NTT-ATのクラウドソリューションには他企業のクラウドと連携するものがあって、NTT-AT、他クラウド事業者、お客様それぞれでセキュリティ対策を分担します。ですが、箇所によっては責任が重なる部分もあり、複雑です。そうした事情をお客様やパートナー、社内の関係者に説明し、統一した見解を提示するとき、CCSPで学んだクラウドセキュリティの体系的な理解や考え方が役立ちます。
また、私は新規事業や商材の開発で海外ベンチャーとよく話をするのですが、最近はクラウドベースのサービスを提供するところが増えており、たとえばデータをクラウド上で解析するサービスの場合、各国の法規制や必要なセキュリティ対策など、国内で展開するために必要な課題を洗い出す必要があります。そんなとき、CCSPで得た考え方に基づいて情報を整理することで、以前よりも問題解決のための方法論がうまく導き出せるようになりました。
さらに、自分自身のバックグラウンドを手早く相手に伝える手段としての効果も感じています。NTT研究所にいた頃は基本的にNTTグループ内の見知った関係の中で活動することがほとんどで、資格の必要性を強く感じることなく過ごしてきました。しかし、現職ではNTTグループ外の方と接する機会が増え、自分はどのような知識を持っているのかを端的に伝える方法が必要になりました。 その手段として、CISSPやCCSPは有効です。実際、自分の名刺に資格名を印字したところ、それに気付いた技術者の方とは、相手の知識レベルがどれくらいか"探り合い"をすることなく、すぐに深い話ができるようになりました。
もちろん、グローバルで通用する資格なので、海外の方との商談でも大いに有効です。会話のアイスブレイクにもなっており、その後の会話もスムーズに進みます。海外でのネットワークを広げたい方は、CISSPやCCSPの資格はとても重宝するはずです。
技術に特化した資格ではないので、息が長い資格という点も魅力的です。日本でも、より多くのCCSP取得者が誕生することを期待しています。
CCSP資格維持では、どのような取り組みをしていますか?
セミナーやウェビナーは積極的に聴講しています。
業務に深く関わるためアップデートが必須なのは当然なのですが、クラウドのテクノロジー自体がまだ新しく、フレームワークも法制度も、定義すらも多様です。ひとつに収斂されてから学べばいいという考え方もありますが、業務という観点で考えると、そうもいきません。新しいソリューションや技術が台頭しても目を背けず、変化する情勢に真正面から向き合い、そのときどきで主流となる考え方を理解しつつ、全体像を体系的に把握する。そうしたアップデートを継続することで、お客様の最適解へと落とし込むことができます。イメージとしては、江戸時代に戦国時代のことを学ぶというよりは、戦国真っ只中で戦国時代について大局的に学ぶ感じでしょうか。
CISSPに加えてCCSPを取得したことで、自信を持って情報を発信できるようになりました。この自信を、今度は他の領域の学びにもつなげていきたいと思います。
(インタビュー日:2020年6月)
資格取得の意義と社員エンゲージメント
顧問 フェロー CISSP
笠原久嗣氏
CISSPやCCSPを取得した社員は、その顔つきがガラッと変わります。世界的に認められた資格保持者としてのプライドが生まれ、社内やお客様の相談、質問に対して真摯に向き合い、常に最新情報に目を光らせて知見を高める努力を欠かしません。そうした変化にお客様も気付かれるようで、「資格取得後は、じっくり意見や提案に耳を傾けてもらえるようになった」と社員に言われたことがあります。特に初めてのお客様の反応がこれまでと明らかに違うとのことです。社員も専門家として認められることで、業務のモチベーションが格段に向上しているようです。
NTT-ATでは、社員の資格取得を積極的に支援しています。全社で100名を超えたCISSP資格取得に加えて、クラウドセキュリティ分野での深い知識、知見、実践力を認定するCCSPや、インシデントハンドリング、フォレンジック、セキュリティオペレーションなど高度セキュリティ実務者資格の取得を勧めています。
高度専門資格の取得支援にはそれなりの費用がかかります。しかし、資格を取得した社員の働き方や意識の変化が会社に与えるインパクトは絶大で、会社の成長も促します。また、社員の会社に対するエンゲージメントも向上しています。今後も社員のレベルアップやキャリアアップを応援し、そのスキルを最大限に活かせるよう支援していきたいと思います。