サイバーセキュリティのキャリアを始める

    本ページは英語ドキュメントを翻訳したものです。

     


     

    投稿者:Tom Gilheany


    Tom Gilheany_final_thumb.jpgあなたがサイバーセキュリティの分野でのキャリアについて考えているのなら、それは喜ばしいことです。あなたは、需要と雇用が急拡大している分野を選んだことになります。そして、これは給与が平均的な額を超え、さらに今後増えていくことも意味しています。

    サイバーセキュリティに関する雇用は、現在、一般的な IT 関連の雇用に比べ 3 倍の速度で増加しており、全体的な求人市場と比べると、12 倍の速度にもなります。この 10 年間で、IT セキュリティに関する雇用は、74 % も増加しました。そして、この増加ペースはますます加速しています。2019 年までには、サイバーセキュリティのトレーニングを受けた人材が、世界中の組織で 150 万人不足するとされています。

    高いスキルを持ったサイバーセキュリティの専門家をいかに確保するかが大きな課題となっています。だからこそ、雇用側の 3 分の 1 以上が求職志望者に業界の認定を求めているのです。

    では、そうした志望者達がセキュリティに関するスキルを備える上で、強固な基盤となる知識を得るには、どのような学習を進めるべきでしょうか。この場合、考慮すべき 4 つの分野が挙げられます。

    セキュリティのキャリアにおける 4 本の柱

    最初の柱は、オペレーティング システムです。Windows、Linux、Mac OS などのコンピュータ用のシステム、また iOS や Android などのモバイル デバイス用のシステムを意味します。あなたが目的とすべきなのは、ユーザ/デスクトップ レベルから、管理者/サーバ レベルへと知識を飛躍させることです。オペレーティング システムにおけるサブシステム、アプリケーション、ユーザの位置づけ、それらの制御方法、相互作用の仕組みを理解する必要があります。このような知識は、システムが侵害され、「クリーンアップ」が必要となった際にも役立つはずです。

    第 2 の柱は、コーディングの経験です。ソフトウェアの脆弱性が、攻撃対象の大部分を占めるようになりました。ソフトウェアによる自動化は情報システムのみならず、セキュリティ制御の分野にも波及しています。少なくとも 1 種類は、プログラミング/スクリプト言語についておさえておくことが非常に重要です。C、Python、Perl などを学ぶのがよいでしょう。

    第 3 の柱は、ネットワークです。ネットワークや通信に関する機能は、情報システムにおいて重要な役割を果たしていますが、同時に多くのセキュリティ上の脅威にも利用されています。今日の分散化された Web ベースのアプリケーションを利用するには、ネットワーキングにおける基本的知識を身につけ、システムがどのようにしてリモートから侵入/侵害され、情報がシステムから流出するかを理解することが必要です。

    最後に、第 4 の柱として挙げるのは、セキュリティの基本原則です。一般的なセキュリティと環境要因的なセキュリティの両方について理解するようにしてください。それらの違いは何でしょうか。たとえば銀行を例にとると、ロックや鍵に関する知識が一般的なセキュリティに該当します。つまり、その技術があらゆる種類の資産を保護するために普遍的に使われているからです。一方、環境要因的なセキュリティとは、その業界、組織、システムに固有のものです。「通常」の企業の活動がどのようなものであるかを把握し、疑わしいアクティビティによるものと比較するのです。情報や資産の機密性、完全性、可用性を保持することであれば、どんなことでもセキュリティ スキルとして重要です。たとえばディザスタ リカバリ計画のように、「非サイバースペース」の従来の事項であっても、有用な経験となることでしょう。

    getting-started-in-cybersecurity-career.jpg基本について学ぶ一方で、サイバーセキュリティに関する職種について、現在すでにあるものと今後新たに登場するであろうものについてみておきましょう。あなたが興味を持てる職種について知っておくことも、役に立つはずです。

    大規模なセキュリティ チームを編成する場合に、過去 10 年間で最も普及したセキュリティ チーム フレームワークとして、米国防総省(DoD)指令 8570 を挙げることができます。多くの政府機関や大規模な組織が、このフレームワークを使用して、IT セキュリティに関する職務を体系的に定義しています。

    サイバーセキュリティがもたらす職務の多様な選択肢

    指令 8570 では、4 つのカテゴリに渡り、14 種類の職務が規定されています。しかし、その規定の間にも、セキュリティはますます複雑になり、職務の内容も多様化しています。2015 年に、DoD は指令 8140 を規定しました。これは、米国国立標準技術研究所(NIST [英語] )の National Initiative for Cybersecurity Education(NICE)と、国土安全保障省の National Initiative for Cybersecurity Careers and Studies(NICCS) [英語] に基づいた、新しい National Cybersecurity Workforce Framework(NCWF) [英語] の採用を意図するものです。米国連邦政府の多くが、この新しいフレームワークに適合すべく移行を進めています。

    この新しいフレームワークには、7 つのカテゴリにわたるアクティビティと 31 の専門分野があり、あなたがサイバーセキュリティに関する職務を選ぶ上で、選択肢が倍増することになります。そのため、それらの職務を検討する際には、あなたが希望する作業環境やアクティビティについて考える必要があります。

    あなたに向いている職種

    もし、あなたが 9 時から 5 時までの規則的な勤務で最も成果を上げられる場合は、「セキュリティ プロビジョン」カテゴリの情報アシュアランス/コンプライアンス担当などの職務を気に入るでしょう。逆に、不測の状況にもうまく対処でき、不規則な勤務時間も苦にしないのであれば、「保護および防御」カテゴリにあるコンピュータ ネットワーク防御の職務が向いているかもしれません。セキュリティ運用カテゴリの職務も希望に合う可能性があります。

    興味の持てる職務が見つかったら、職務を遂行する上で必要なナレッジ(Knowledge)、スキル(Skill)、アビリティ(Ability)を意味する KSA について確認してください。ナレッジは、職務のパフォーマンスに直結する情報の蓄積と定義されています。スキルは、学習した内容を実行するための測定可能な能力です。アビリティは、測定可能な行動を遂行する能力、もしくは行動の結果、測定可能な成果をもたらすものです。KSA は当初より、測定可能な方法で、求職者の職務能力を数値化できるように設計されています。

    米国連邦政府は KSA を徐々に廃止する方向で進めていますが、今も多くの組織が KSA に基づいて職務内容を記載しています。求職者が連邦政府の求人に応募する上では、KSA は手間のかかるものとして認識されていますが、職務を遂行する上で何が必要なのか、採用担当マネージャが何を求めているのかを把握する際に役立ちます。

    始めるために必要なもの

    あなたは、興味を持った職務に必要な KSA や能力を持っていますか。もしくはそれらを得るための計画を立てていますか。ほとんどの採用担当マネージャは、採用にあたり、能力を実証するための業界認定を要求します。認定があれば、従業員は、現在従事している、もしくは将来希望する職務に必要な最低限のトレーニングを受け、ナレッジ、スキル、アビリティを保持していることを証明できます。

    旧 8570 セキュリティ フレームワークの各職務には認定一覧 [英語] があり、特定の職務に従事するすべての人は、その一覧にある認定を取得する必要があります。シスコの CCNA Security および Cybersecurity Specialist(SCYBER) [英語] は、8570 を基準とした認定で、現在取得可能です。最終的には、さまざまな政府省庁、米国防総省(DoD)の各部門が、31 の各専門分野に対応した新しい認定の一覧に沿って、新たなワークフォースのフレームワークを発展させ、シフトしていくことでしょう。

    サイバーセキュリティの分野でキャリアを積んでいくことになれば、多大な努力と、常に最新の情報を得るための継続的な学習が必要となります。ですが、この専門職においては、通常では考えられない程の雇用が確保され、多くの報酬が得られます。犯罪者と戦う正義の味方の一員となり、自分の国、企業、顧客を守り、デジタル世界をすべての人にとって安全な場所にする自分の将来を想像してみてください。—

    サイバーセキュリティの運用職を志して、CCNA Cyber Ops 認定を目指す際に、協力し合う仲間がほしい場合は、シスコ ラーニング ネットワークの CCNA Cyber Ops スタディ グループ [英語] を訪ねてください。

     

    Cisco2016MidyearCybersecurityReport_Banner.jpg

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    Tom Gilheany は、シスコのセキュリティ トレーニングおよび認定担当プロダクト マネージャです。Fortune 100 の多国籍企業における新規事業に関わった多様な経歴を持っています。Tom はプロダクト マネジメントとテクニカル マーケティング分野に 20 年以上携わり、また 10 年を超える IT および運用部門での経歴を通じて、先進的テクノロジー、サイバーセキュリティ、通信分野で 50 近い製品の発売を指揮してきました。Tom は Certified Information Systems Security Professional(CISSP)であり、MBA を取得しています。また、Silicon Valley Product Management Association と Product Camp Silicon Valley の役員でもあります。

    CLNBanner