
セキュリティ技術者だけでなく、
クラウドに関わるサービス開発者やセールス担当者などにも
是非修得して欲しい。
NTTアドバンステクノロジ株式会社
セキュリティ事業本部 セキュリティサービス&ソリューションビジネスユニット
主任技師 中川貴之(40代)
まずは担当業務について教えてください
私は、2002年以降、セキュリティ診断を中心にセキュリティに関するキャリアを重ねてきました。 私がセキュリティの世界に関わり始めた頃は、セキュリティ確保の対象がOSやミドルウエアといったところが中心であり、Webサイトに関するセキュリティが侵害事例とともに注目され始めた頃でした。当時は、セキュリティと経営があまり密に繋がっておらず、セキュリティに対する市場の認識は、意識の高い企業を除いては儲けにつながらない“コスト“程度と捉えている企業が多かったような印象があります。しかし、昨今ITが経営に欠かせない状況になり、セキュリティは当たり前のように経営課題のひとつとして認識されるようになってきました。そして、セキュリティは誰かが知っていればいいということではなく、誰もが知っていなければならない知識になりつつあると感じています。
しかしながら、いろいろなセキュリティインシデントを振り返ると、その原因は、システム設計時にセキュリティが考慮されていなかったり、基本的なセキュリティ対策が疎かになっていたりと、当たり前のことができていなかったというケースが散見されます。これは、関わっている人たちの学習が不十分であること、過去の事例から学んでいないこと、こういったことが要因ではないかと考えているところです。
CCSPを修得しようとした理由を教えてください
セキュリティ関連業務に携わっていく中で、常々継続した学びは大切だと感じております。その一環で様々な資格取得を行ってきました。2011年にはCISSPを修得しました。日本にもIT関連、セキュリティ関連の資格は提供されていますが、CCSPがクラウド関連のセキュリティ資格であること、国際的なセキュリティ資格であることに魅力を感じました。
受験に向けた学習方法を教えてください
実務経験があるのでゼロからの学習ではなく、土台がある状態で試験に挑めた点は、机上の学習だけで頑張らなければならない高校や大学の受験とは違うところでした。
学習時間は公式トレーニング以外の自己学習として50時間程度でした。ISC2の試験では、問題の形式に特徴があり、その特徴を掴んで攻略することが合格へのポイントと感じました。特に感じた特徴としては、選択肢の中から「最もふさわしいものを選べ」という問いなのですが、どの選択肢も正しく、その中で、最適なものや最優先のものを選ぶという、知っているだけでなく判断できるかどうかが問われる問題が多いことです。これについては、問題集の問題を解き、間違えてしまった問題については解答を見ながら「なぜそうなるのか?」を自らに問いかけ、自分が腹落ちするような解説文を自分なりに記述してみるという手法をとりました。
CCSPトレーニングがどのように効果的でしたか?
クラウドに関わる、開発者、運用者、セキュリティ担当といった、様々な人たちの視点でのものの見方が身についたことです。
クラウドで開発をし、クラウドでサービスをリリースし、今やクラウドの利用は避けられない時代です。そんな中で、クラウドにおける開発ライフサイクルを意識し、新たなサービスの企画段階からセキュリティを考慮した動きが必要であること、といったシフトレフト、DevSecOpsといった世の中の動きとリンクした学習ができたことは、自らの今後の業務においても大変有用でした。
なお、CISSPとCCSPの違いを紹介すると、CISSPのほう幅広く、CCSPは、クラウドに特化していることです。
- CISSPは、試験時間が6時間、250問
- CCSPは、試験時間が3時間、125問
CISSPは、かなりハードな試験ですが、それよりも短い時間だったことは、気が楽でした。
冒頭でも述べたように、セキュリティは誰もが知っていなければならない知識となりつつあり、またクラウド利用が当たり前の世の中となってきた今、CCSPは、是非様々な人に取得してほしいです。セキュリティ技術者だけでなく、サービスの開発者や、お客様接点を持つ営業担当者などを含め、クラウドに関わる全ての方に有用な資格だと考えます。
今後のキャリアデザインについてお聞かせください
今後も、セキュリティを軸にキャリアを重ねていきたいと思っています。CCSPを取得できたこともありますので、クラウドに関連した業務に今後特に注力できれば、と考えているところです。
最後に、これからCCSPを目指す方へのメッセージをお願いします

これまで述べてきたように、クラウドに関わるあらゆる人におすすめできる資格ですので、是非いろんな方にチャレンジしていただきたいです。
また、セキュリティ関連業務に長く携わってきた中で、知識や技術力に裏付けされたコミュニケーション能力はとても大切だということに気づかされています。
知識や技術力だけで、それを相手に上手く伝えることができなければ、お客様のセキュリティレベルを向上させることはできない。また、お客様に上手く伝える能力があっても、知識や技術力がなければリスクに対する適切な対策を提案できない。CCSPはそんな中で、クラウドセキュリティに関する知識や技術力を裏付けするものとして、とても有用だと感じています。
CCSPについて
CCSP(Certified Cloud Security Professional)は、CISSPでも知られるISC2が提供する最新の資格制度で、クラウドサービスを安全に利用・運用するために必要な知識やスキルを世界で初めて体系化し、人材認定を行うものです。CCSPの知識体系には、最新かつ包括的で最適な運用を実施できるセキュリティ技術と、クラウドコンピューティング環境の総合的な知識が含まれており、クラウド特有のテクニカルな知識に加えて、コンプライアンスの知識、契約上の義務とセキュリティとの関連など、クラウド戦略、DX戦略を支える人材の育成に活かせる内容となっています。CCSP認定資格取得に向けて
CCSP®認定資格取得には、日本語で開催しているCCSPトレーニングをご活用ください。トレーニング中に、インストラクタや、クラスメートと交流することもできるので、おススメです。
詳しい開催日程、トレーニング内容は、CCSP CBKトレーニングセミナーのページより、ご確認ください。
CCSP 合格者の声

自身の業務は、サービサーでもあり、利用者でもある。両方の視点で何を考慮しなければいけないのか、米国のセキュリティ規制や関連法案がどのような考えを基につくられているかを学ぶ機会でもあった。