CompTIA CASP+はどのようなスキルを証明できる資格なのか？

サイバーセキュリティ関連コラム～第9回～

CompTIA CASP+はどのようなスキルを証明できる資格なのか？

今回も、クラウドセーフ株式会社の平原氏によるコラムをお届けします。同氏は、以下のコースの講師としても活動されており、お客様個別のご要望にお応えするカスタマイズにも対応いただいております。

• CompTIA PenTest+
• CompTIA Advanced Security Practitioner (CASP+)
• CHFI (Computer Hacking Forensic Investigator)

CompTIA CASP+は最上位のサイバーセキュリティ資格

皆さん、こんにちは。クラウドセーフの平原伸昭です。このコラムは、セキュリティ分野でのスキルアップを考えているエンジニアの皆さんにお届けしています。今回は、私が講師をしているCompTIA CASP+はどのようなスキルを証明できる資格なのか、どのような考え方が求められる資格なのかについて説明します。なお、このコラムの見解は、著者である私の見解であり、CompTIAの正式な見解ではない点をご了承ください。

まず、CompTIA CASP+は「CompTIA Advanced Security Practitioner」のことで、CompTIA認定資格のサイバーセキュリティのキャリアパスにおいて最上位に位置付けられており、IT全般の管理者として10年以上の経験、そのうち5年以上をセキュリティに関する実務に携わるエンジニアの方を対象として設計されています※1。

矛と盾、どちらのスキルも要求される

CASP+で習得できるスキルには、「リスクマネジメント」、「組織におけるセキュリティアーキテクチャ」、「組織におけるセキュリティ運用」、「エンタープライズセキュリティの技術統合」、「調査、開発およびコラボレーション」があります。企業・組織における情報セキュリティの確保を組織的、体系的に取り組むためのリスク軽減戦略から、情報セキュリティ対策を実施、運用するためのセキュリティ技術や製品、機能についてなども幅広く学び、これらのスキルを総合的に問われる資格となります。

なお、CASP+では、矛と盾のどちらのスキルも求められるため、「攻撃手法」、「ペネトレーション技術」といった攻撃寄りのスキルはPenTest+で、「脅威、脆弱性マネジメント」、「セキュリティオペレーションおよびモニタリング」などといった防御寄りのスキルは、CySA+で学んだ後にチャレンジすることをお勧めします。

技術的に正解でも経営者、管理者としての判断も重要

続いて、どのような考え方が求められる資格なのかについてですが、CASP+では、単純な正解、不正解を選択する問題というよりは、技術的には正解だが最も良いとされる選択肢を解答させる傾向にあります。CASP+では、エンジニア（実務者）向けでありながらも、状況に応じて最も適切な解答であったり、経営者、管理職としての選択をさせたりする問題が多く出題されます。この辺りが、純粋に実務者のスキルを評価する問題傾向があるCySA+やPenTest+との一番の大きな違いなのではと考えています。

参考までに、CompTIAのホームページで公開されている「CASP+（CompTIA Advanced Security Practitioner+）類似問題」を確認していただくと、単一/複数選択問題の類似問題を確認することができるため、イメージが湧くのではないでしょうか※2。
セキュリティエンジニアとして、正しい知識、スキル、経験を得た後に、個別の具体的な課題に対して、最適解を選択するスキルを証明するためにもCASP+に挑戦してみるのも選択肢のひとつだと思います。
CompTIA CASP+の詳しい認定資格概要、試験情報/出題範囲、類似問題、導入活用事例などはCompTIAの該当ページをご覧ください※3。

※1 認定資格の種類と概要(外部リンク)
※2 CASP+（CompTIA Advanced Security Practitioner+）類似問題(外部リンク)
※3 CompTIA CASP+(外部リンク)