資格試験の意義
原理的には、対象が人間だろうと機械だろうと、その能力や性能を評価しようとするなら、評価する側は対象より高い能力や性能を持っていなければならない。資格試験による評価は、こういうときに便利な指標となりうる。
実社会では、資格試験の知識より現場で培われたスキルやノウハウのほうに価値があるとされる場合もある。試験の点数がよくても、フィールドでの処理能力も高いとは限らないからだ。もっともな理屈だが、試験答案の知識は現場では不要でも、資格試験をパスするというタスクをこなす能力、課題に対して対処戦略を立てて実行できる人材を、実務能力がないと切り捨てるのは愚かしい。
また、資格試験にはスキルの共通言語という側面もある。専門用語や技術用語を知っていると特殊な状態や概念を説明、共有がしやすいように、資格試験のスキルレベルを基準のひとつとすると、採用・評価、教育など、組織のコミュニケーションコストを減らすこともできる。
どんなセキュリティ関連資格があるのか
現在、国内で取得が可能なセキュリティ関連の資格にはどんなものがあるのか。主だったものを以下にリストアップし、簡単に特徴や概要をまとめてみた。
なお、IPAは、2027年度から情報処理関連の資格試験の体系を再編する予定。高度試験の分類や区分が大きく変わることが予想される。以下の情報は2026年度の実施概要に基づいたものとなる。
国家試験:
情報処理推進機構(IPA)が実施するものが代表的。IPAでは、ITに関する国家試験を利活用者向け(社会人)と情報処理技術者向け(エンジニア)の2つに分類している。そのうち、セキュリティエンジニアや担当者が取得しておくとよいものとして、以下の4つを挙げる。
・情報処理安全確保支援士試験
IPAのエンジニア向け試験は「高度」「応用」「基本」の3ランクに分けられている。情報処理安全確保支援士試験は高度試験のひとつだが、サイバーセキュリティのプロフェッショナルに特化している。この試験に合格した受験者は「情報処理安全確保支援士(登録セキスぺ)」として国家資格を申請、登録することができる。試験そのものの難易度も高く(筆記試験あり:合格率20%前後)、登録には更新制度もあり試験合格者、資格保持者のスキルは総じて高い。
この試験は、記述式問題を含めて2026年度に試験会場のPC端末に解答を入力するCBT方式に変更される。CBT方式では、会場・試験日を受講者が選べるが、2026年度の情報処理安全確保支援士の試験は実施期間が指定される(2026年3月時点の情報)。
・ネットワークスペシャリスト試験(NW)
ネットワークスペシャリスト試験も前述した高度試験のひとつ。サイバー空間の実態(物理レイヤ)はコンピュータとネットワークである。したがって、通信インフラ、通信技術の基本、高度な専門知識を問うネットワークスペシャリスト試験は、サイバーセキュリティでも役に立つ。
・応用情報技術者試験 (AP)
試験名の「応用」が示すように応用試験だ。高度試験への登竜門として位置づけられているため、分野ごとの分類はなくこの試験区分のみが規定されている。試験範囲はIT全般と幅広く、テーマを絞った試験対策がしにくかったが、2027年度からこの区分は廃止される予定。
・情報セキュリティマネジメント試験 (SG)
エンジニア以外の社会人、企業のセキュリティ担当者に必要な最低限のセキュリティ管理能力を問う試験。
・基本情報技術者試験 (FE) / ITパスポート試験 (IP)
社会人として必要なIT基礎知識を問う試験。ITパスポート試験は、平均的な企業業務に必要最小限の情報リテラシーを問うもので、エンジニア以外でも役立つスキルを想定している。基本情報技術者試験はIT専門職の基本的なスキルを問う試験。
2027年度以降の試験区分の再編については、2026年現在、意見募集や検討が続いているため、確定的な情報はない。IPAの発表によれば、高度試験と応用試験の各区分を「マネジメント」「データ解析(AI)」「システム」に再編する。3領域すべてに合格すると「フルスタック認定」とする案が提出されている。
業界団体・NPOによる試験:
特定の製品やバージョンに依存しないベンダーニュートラルな試験・認定資格には以下のものがある。
・CISSP
国際的なセキュリティ団体ISC2が実施するプロフェッショナル向けのセキュリティスキル認定試験。セキュリティスキルのグローバルスタンダードにもなっているので、海外機関、海外企業においても有効なスキルとして認定される。
・CISA / CISM (ISACA)
ISACAが主催する認定資格試験。CISAは情報システム監査人のためのスキル認定試験。CISMはマネージャや管理者に必要なセキュリティスキルの認定試験。
・GIAC
SANS Instituteが実施するハンズオン主体のセキュリティスキルの試験。システム操作や解析の実技試験があり難易度が高い。
・CompTIA Security+/CySA+
CompTIAはグローバルで展開しているIT関連の資格試験体系。このうちCompTIA Security+はITセキュリティの基本スキルとしてハード、ソフト、ネットワーク関連のセキュリティスキル、ツールスキルを問う。エミュレーターによる簡単なハンズオン試験あり。CySA+はSOCエンジニアのスキルとして、脅威分析、インシデント対応などの能力を修得するトレーニングプログラム。
・CEH (Certified Ethical Hacker)
EC-Councilが提供する認定ホワイトハッカー資格。脆弱性診断やペネトレーションテストの専門スキル、実務スキルを問う。
・公認不正検査士 (CFE)
デジタルフォレンジックや不正調査に特化した試験。日本公認不正検査士協会が主催する。
ベンダー系認定試験:
特定の製品、サービス、プラットフォームに関する知識やスキルをベンダーが認定する資格試験にもセキュリティ関連のものがある。
・AWS Certified Security Specialty
AWSクラウドのデータ保護、暗号化、プロトコルに関する知識・スキルを認定する試験プログラム
・Microsoft認定:Azureセキュリティエンジニアアソシエイト
Azureのマルチクラウドおよびハイブリッド環境のセキュリティ実装・設定・運用監視について、Defender他関連ツール、コンポーネントの知識・運用スキルを問う。
・Google Cloud - Professional Cloud Security Engineer
Google Cloudに対して、セキュリティベストプラクティスを適用したワークロード、インフラの設計・構築のためのスキルを認定する。
・Cisco (CCNP Security / CCIE Security)
IPネットワークの基礎と主要プロトコルの理解、Cisco製ネットワーク機器の設定スキル、IOS(Ciscoスイッチ・ルーター専用OS)のコマンド操作スキルを問う試験。
業務やアプリケーション分野によっては、デファクトスタンダードになっているシステムやプラットフォームがあるため、ベンダー依存の認定資格は、業界ごとに高い評価を受ける傾向がある。ただし、製品やサービスの進化も早いので、年度による更新や再受験を前提とした資格試験・スキル認定プログラムであることが多い。
以上で紹介したものは、セキュリティ関連の資格およびスキル認定プログラムの一部である。他にもLinux関連のLinuC、LPICもセキュリティに特化した認定プログラムを実施している。
業務ごとのスキルセットと資格
セキュリティ分野は、コンピュータサイエンス、ネットワーク技術、プログラミングの知識から法律の知識まで幅広い領域をカバーする必要がある。幅広く、かつ領域ごとに特化した知識やスキルも求められる。一般的な資格試験では、最も評価を下しにくい分野ともいえる。
現実問題としてセキュリティ分野について、関連の資格や認定プログラムはどれほど参考になるのだろうか。この疑問に対するアプローチは、会社のセキュリティ体制、担当者の役割に応じて有効な資格を分けて考えるしかない。たとえば、情報処理安全確保支援士は、ネットワークからマネジメントまで幅広い知識を求められるが、資格保持者がマルウェア解析や実際のシステムに侵入する(ペンテストなど)能力まで持っているとは限らない。
セキュリティ業務について、以下のような役割や機能に分けて、どの部署ならどの資格が適しているかを考える。その上で、要求されるスキルレベルの参考、人材配置の参考にするとよい。
1. 経営・マネジメント・戦略層 (CISO / セキュリティマネージャー)
CISOや管理職は、事業継続、法規制、資産保護の視点からセキュリティを考える必要がある。したがって、組織全体のガバナンス、リスク管理、コンプライアンス(GRC)のスキルが重視される。
・CISSP
・CISM (公認情報セキュリティマネージャー)
・情報処理安全確保支援士 (登録セキスペ)
・情報セキュリティマネジメント試験 (SG)
2. 運用・防御・分析層 (SOC / CSIRT / アナリスト)
日々のセキュリティ業務に加え、インシデント発生時のインシデント対応や外部機関との連携といった高度な実務能力が求められる。
・GIAC (SANS)
・CompTIA CySA+
・ネットワークスペシャリスト (NW)
・CompTIA Security+
3. 攻撃・診断・技術検証層 (ペンテスター / ホワイトハッカー)
セキュリティ対策のPDCAには現状の検証を常に行い改善を繰り返していくことが必須である。攻撃者視点での評価・診断には特殊なスキルが必要となる。
・CEH (認定エシカルハッカー)
・GIAC (GPEN等)
4. クラウド・インフラ専門技術層 (クラウドエンジニア / アーキテクト)
企業活動に欠かせないクラウドプラットフォーム、サービスを利用する上で、セキュリティの知識とスキルは欠かせない。
・AWS / Azure / Google Cloudの認定セキュリティ
・Cisco (CCNP/CCIE Security)
5. 監査・不正調査・法適合層 (IT監査人 / 調査官)
上場企業は自社システムの安全性について第三者評価を得る必要がある。主に監査法人やセキュリティベンダー向けの資格となる。
・CISA (公認情報システム監査人)
・公認不正検査士 (CFE)
6. IT共通基盤・リテラシー層
セキュリティに関わらない部門でも最低限のITリテラシーやネットワークの知識が求められる。ITパスポート試験は、理系・文系にかかわらず社会人として習得が必要な知識レベルともいえる。
・応用情報 (AP) / 基本情報 (FE)
・ITパスポート (IP)
IPA試験の再編
3月31日に経済産業省は、IPAが実施する情報処理技術者試験の区分見直しについて案を公表している。見直しの背景には、業務においてAI活用が当たり前となり、情報処理技術者を含むIT系に必要なスキルセットの変革がある。
2025年までは図1のような区分で試験が実施されていた。全体像をまとめると次のようになる。
・非エンジニアやユーザー企業向け
ITパスポート試験(IP)
情報セキュリティマネジメント試験(SG)
・エンジニアやプロフェッショナル向け
基本情報処理技術者(FE)
応用情報技術者試験(AP)
各種高度試験(図1:ピンク色)
エンジニアはFEを登竜門とし、APにステップアップし、さらにプロジェクトマネージャ、組み込みエンジニア、ネットワークインフラ技術者、データベースエンジニア、セキュリティの安全確保支援士と、分野ごとのスキルを深堀りする体系となっていた。
しかし、応用情報技術者試験と高度試験と呼ばれるプロフェッショナル試験の分類が、クラウド+AI時代の企業ニーズと合わなくなってきた。
再編の大きなポイントは、応用情報技術者試験と高度試験群を統廃合することだ。高度試験は、プロフェッショナルデジタルスキル試験(仮称)とし、マネジメント領域、データ・AI領域、システム領域の3つに分類する。ITパスポート試験と基本情報技術者試験はほぼそのままで、ユーザー企業向けの試験は情報セキュリティマネジメント試験と新設されるデータマネジメント試験(仮称)に整理される。
前述のとおり、高度試験の一部、情報処理安全確保支援士で行われていたペーパーテスト方式は廃止され、すべてがCBT方式になる。ペーパーテスト方式は、一部に記述式の問題があり、試験は年2回、指定の日付および会場で実施されていたが、CBTになると、オンラインで最寄り会場を予約し、試験会場の端末で受験する。
ただし、従来ペーパーテスト方式だった試験は、2026年度、2027年度は移行期間の暫定的な運用となる見込みで、情報処理安全確保支援士の試験は、CBT方式になるものの、試験日と会場は指定され、受験者は選べない方式になるという情報もある。記述式問題がどのような形になるのかの詳細は発表されていない。
参考:情報処理技術者試験における試験区分体系などの見直し(案)について
https://www.meti.go.jp/press/2025/03/20260331003/20260331003.html
