新着情報

CompTIA Security+がDX推進をサポートする理由(CompTIA米国本部ブログより)

2022/07/29

米国本部ブログ: How CompTIA Security+ Supports Digital Transformation


how-comptia-security-supports-digital-transformation.pngSalesforceでは、デジタルトランスフォーメーション(DX)は、「変化するビジネスや市場の要件に合わせるために、デジタルテクノロジーを使って新しい/または既存のビジネスプロセス、文化、カスタマーエクスペリエンスを創造するプロセス」と定義されています。

つまり、ほぼ全ての従業員が企業のITシステムやアプリケーションにアクセスすることができ、ほぼ全ての人々が日常生活でテクノロジーを利用するということです。DXは生産性とアクセシビリティを向上させた一方で、サイバーセキュリティのリスクも引き上げました。CompTIA State of Cybersecurity 2021 のレポートによると、一般的に消費者レベルの行動は企業レベルの行動と比較して、セキュリティに対する意識が低いとされています。

これは、サイバーセキュリティプロフェッショナルにとっての課題であり特定のスキルを必要とします。デジタルテクノロジーは安全性が大前提であるため、サイバーセキュリティはDXに不可欠な要素となります。

サイバーセキュリティプロフェッショナルが直面する5つの課題

新しいテクノロジーにより、従業員はオフィスや遠隔地からでもシームレスな働くことができるため、「場所を選ばない働き方」がDXを加速させています。CompTIAのブログ COVID-19でデジタルトランスフォーメーションが加速した4つのパス では「企業は優秀な人材の獲得や、移動などの手間を省くための方法として、リモートワーカーを受け入れていました。しかし、多くの従業員がリモートに移行したことで、未解決の問題に光が当てられることになります。」としています。

サイバーセキュリティプロフェッショナルは少なくとも以下を遂行する必要があります。
● プロアクティブソリューションの導入
● よりクラウドベースワークフローを重視
● ゼロトラストへの移行
● セキュリティ指標の活用
● 脅威への理解を深める

 
プロアクティブアプローチの導入

DXソリューションの導入を成功させるためには、サイバーセキュリティプロフェッショナルはプロアクティブに関与する必要があります。多くの企業は、認証やアクセス管理の向上など、セキュアペリメーターを強化する措置を講じていますが、プロアクティブな考え方が採用できていません。例えば、サイバーセキュリティチームではペネトレーションテストが重視されることから、ペネトレーションテスターとセキュリティアナリストの両方をトレーニングするためのサイバー防御演習に取り組むといったことです。

CompTIA IT Industry Outlook 2022 では、「組織は、システムを調べ、弱点を見つけるためには内部リソースまたは外部パートナーのいずれかが必要となることを認識し始めている。」としています。

このような「攻撃」対策は、従来の「防御」対策に加えて必要であり、目的に応じた組織戦略や新たな投資が必要となります。

CompTIA Security+の試験範囲とCertMasterラーニング(英語)は、プロアクティブなサイバーセキュリティのあらゆる側面を網羅しています。例えば、CompTIA Security+の試験では、プロフェッショナルが以下を実施するうえで必要な知識とスキルを評価します。

● エンタープライズ環境でのセキュリティ態勢を評価し、適切なセキュリティソリューションを推奨し実装する
● クラウド、モバイル、IoTなどハイブリット環境の監視と保護
● ガバナンス、リスク、コンプライアンスの原則を含む、適用される法律とポリシーへの認識と適用
● セキュリティイベントやインシデントの特定、分析、対応

 
クラウドベースのワークフローの重視
多くの組織がクラウドファーストアーキテクチャを導入し、安全性の確保が求められます。重要な要素として、リモートワークをサポートするためのクラウド環境におけるネットワークパフォーマンスやサイバーセキュリティが挙げられます。組織がクラウドにITアーキテクチャを多く移行するにつれ、ITプロフェッショナルはそれをサポートするための新しいスキルを学ばなければなりません。

CompTIA Security+は、以下の試験分野でクラウドスキルを網羅します。
1.2 与えられたシナリオに基づいて、 可能性のあるインジケーターを分析して攻撃の種類を特定することができる
1.5 様々な脅威アクター、 ベクター、 インテリジェンスソースを説明することができる
1.6 様々な脆弱性のタイプによるセキュリティの懸念について説明することができる
2.2 仮想化コンセプトとクラウドコンピューティングのコンセプトを要約することができる
2.4 認証と認可の設計コンセプトを要約することができる
2.5 与えられたシナリオに基づいて、 サイバーセキュリティのレジリエンスを実装することができる
3.6 与えられたシナリオに基づいて、クラウドにサイバーセキュリティソリューションを適用することができる
4.5 デジタルフォレンジックの重要な側面について説明することができる
5.2 組織のセキュリティ態勢に影響を及ぼす適用される規制、 標準、 フレームワークの重要性について説明できる

 
ゼロトラストへの移行

DXは、「敵はすでにネットワークにいるため信頼できるものはない」というゼロトラストに支えられています。組織は、彼らのネットワークから発信されるトラフィックは無害であると想定してはいけません。

ゼロトラストソリューションには、接続がセキュアであることを確実するための追加の検証が含まれます。NISTのゼロトラストアーキテクチャに関する資料では、ゼロトラストは「単一のアーキテクチャではなく、ワークフロー、システム設計、運用のための一連の指針である」と記しています。(NIST Special Publication 800-207

ゼロトラストアーキテクチャには、CompTIA State of Cybersecurity 2021に示されるようにいくつかの共通するプラクティスがあります。
● 多要素認証により、単一の認証情報に対する依存を減らす
● ネットワーク分析により、潜在する悪意のあるビヘイビアを見つける
● マイクロセグメンテーションで、トラフィックを詳細に制御し、ターゲットとなるセキュリティポリシーを適用する

ゼロトラストのベストプラクティスは1つではありません。ソリューションが連携することでより優れた保護が実現します。

CompTIA Security+は、以下の試験分野でこれらのスキルを網羅します。
3.3 与えられたシナリオに基づいて、セキュアなネットワークデザインを実装することができる

 
セキュリティの指標を活用する

DXソリューションは、組織が戦略的な観点からセキュリティの状態を評価することで、よりセキュアになります。例えば、多くの企業はセキュリティオペレーションセンター(SOC)を導入し、セキュリティ侵害を追跡し分析しています。これらの指標は、インシデントを特定し、必要な場合組織全体に伝達することを目的とします。さらに、ガバナンス、リスク、コンプライアンス(GRC)の機能としてサイバーセキュリティの状態を報告するため重要となります。

CompTIA Security+は、以下の試験分野でこれらのスキルを網羅します。
5.1 様々な制御タイプを比較対照することができる
5.2 組織のセキュリティ態勢に影響を及ぼす適用される規制、 標準、 フレームワークの重要性について説明できる
5.3 
組織のセキュリティに関連するポリシーの重要性について説明することができる
5.4 リスク管理のプロセスとコンセプトについて要約することができる

 
脅威への理解を深める

DXは、ITシステムで発生している攻撃に関する情報を提供するデータ駆動型のプラクティスである脅威インテリジェンスの改善により向上します。脅威インテリジェンスの収集は、大抵がSOCの機能となります。SOCが組織全体に起きている攻撃の種類を分析することが理由です。多くの組織は依然として従来の脅威を重視していますが、新たなタイプも分析される必要があります。

脅威インテリジェンスにはデータ収集が必要で、他のビジネスデータフローと同様に処理されなければなりません。例えば、情報は、冗長または不要データを除くスキームに整理される必要があります。また、洞察や緩和策、フィードバックループを提供するための自動化やデータ分析テクニックも重要となります。

CompTIA Security+は、以下の試験分野でこれらのスキルを網羅します。
1.1 異なるタイプのソーシャルエンジニアリング手法を比較対照することができる
1.2 与えられたシナリオに基づいて、 可能性のあるインジケーターを分析して攻撃の種類を特定することができる
1.3 与えられたシナリオに基づいて、 アプリケーション攻撃に関連する可能性のあるインジケーターを分析することができる
1.4 与えられたシナリオに基づいて、 ネットワーク攻撃に関連する可能性のあるインジケーターを分析することができる
1.5 様々な脅威アクター、 ベクター、 インテリジェンスソースを説明することができる
1.6 様々な脆弱性のタイプによるセキュリティの懸念について説明することができる
1.7 セキュリティ評価で使用する手法を要約することができる
1.8 ペネトレーションテストで使用する手法を説明することができる
3.3 与えられたシナリオに基づいて、セキュアなネットワークデザインを実装することができる
4.4 想定されたインシデントに基づき、 低減技術や制御を適用して環境を保護することができる
5.4 リスク管理のプロセスとコンセプトについて要約することができる

 
CompTIA Security+でDX推進をサポートする

DXの取り組みは、組織全体の変革を必要とするため遅々として進んでいないのが現状です。ITツールだけが解決策にはなりません。新しいツールは機能を追加しますが、他のツールとの統合が必要であり、インフラストラクチャー、サイバーセキュリティ、ビジネスそのものに支えられなければなりません。

CompTIA Security+は、実務スキルを重視する唯一のサイバーセキュリティ認定資格であり、プロフェッショナルが今日の広範かつ複雑な問題を解決するうえで必要なスキル修得を可能にします。

CompTIA Security+は、最新のトレンドとテクニックにあわせ、以下のコアとなるテクニカルスキルを網羅します。
● リスク評価と管理
● インシデントレスポンス
● フォレンジック
● エンタープライズネットワーク
● ハイブリッド/クラウド運用
● セキュリティコントロール

CompTIAでは、Study Guide、eLearning、オンラインコースなどSecurity+のトレーニングソリューションを提供しています。

● The Official CompTIA Security+ Study Guide 書籍/eBook
● CertMaster Learn for eLearning
● CertMaster Practice for test prep
● CompTIA Labs virtual lab environment
● CompTIA Live Online Training

※英語のみ/2022年7月現在

学習を始める準備は整いましたか?認定資格の概要や、出題範囲のダウンロードは CompTIA Security+の概要ページから!