CCSK

 

 

クラウドセキュリティの知識を認定 – これが未来だ!

この内容は、CSAが公開している”The Certificate of Cloud Security Knowledge – The Future is Now!”のウエブページの日本語訳になります。本書は、原文をそのまま翻訳したものに、一部日本向けの情報を入れたものです。原文と日本語版の内容に相違があった場合には、原文が優先されます。また、この翻訳版は予告なく変更される場合があります。

クラウドコンピューティングが将来の情報技術になると思われているように、IT業界において、クラウドコンピューティングとセキュリティの両方に対する知識のギャップへの対策と専門家の育成を行うことが必要であると認識されています。Cloud Security Allianceが、2010年に最初のCertificate of Cloud Security Knowledge (CCSK)をリリースしてから、数千人のITとセキュリティの専門家が、CCSKを取得することでスキルセットの向上とキャリアの拡大の機会を得ています。CIO.com が、CCSKを、上位10のクラウドコンピューティング認定の#1に位置づけたことは特に驚くことではありません。

CCSKとは、なんでしょうか?

CCSKでは、クラウドセキュリティについての幅広い基盤となる知識の試験を行っています。これは、アーキテクチャ、ガバナンス、コンプライアンス、運用、暗号化、仮想化などのトピックを含んでいます。CCSK試験は、「CSAクラウドコンピューティングのためのセキュリティガイダンスV3(CSA Security Guidance for Critical Areas of Focus in Cloud Computing V3)」とENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項(Cloud Computing: Benefits, Risks and Recommendations for Information Security)」の知識になります。.

CCSK試験(試験サイトへのリンク)は、オンラインで受けることのでき、時間制限のある複数選択肢の試験になります。試験は、問題集から選ばれた60個の複数選択の質問からなり、制限時間は90分です。受験者は、合格するためには80%の正答が必要になります。試験がオンラインで行われるため、本を開いておくことができます。しかしながら、経験者は、すべての質問に対して本を参照するには90分では短く、知識を身に付けていることが必要であると語っています。CCSKについての重要な情報については、こちらのFAQを参照してください。

(日本語追記: CCSK試験は日本語でも提供されています。日本語での試験方法等については、こちらを参照してください。) 

CCSKは、幅広く採用されています。クラウドプロバイダや情報セキュリティサービス会社は、初期の段階から社員にCCSKを取得することを薦めています。米国政府のFedRampプログラムに所属する第三者評価機関((3PAO)のすべての職員はCCSKを持っています。また、いくつかの3PAOでは、採用の決定の一部として幅広く使用しています。2013年は、クラウド利用者が積極的にCCSKを取得しました。特に、さまざまなクラウドプロバイダと関係を持っている企業ユーザが取得しました。クラウドを利用すればするほど、セキュリティのベストプラクティスの一貫した基準を行うことが重要になってきます。最初に言ったように、責任の分担が必要です。クラウド利用者は、利用しているクラウドのタイプによって、幅広いガバナンスから技術的なセキュリティコントロールの構成までの範囲の責任を持ちます。

必要なトレーニングを受ける

IT認定の取得に際して、公式なトレーニングは試験をパスするための良い方法になります。試験にパスするためにもっと重要なことは、実際の現場での経験を共有し、クラウドシステムにベストプラクティスを適用することに触れる機会を持つことです。そのために、CSAは2つのコースを開発し、これを強く推奨しています。「CCSK基礎クラス」はクラウドセキュリティの基礎を包括的に学ぶ1日コースで、Cloud Security Alliance CCSK v3.0を取得するための知識と試験の準備を提供します。「CCSK Plusクラス」は、CCSK基礎の上に作られていて、3日目のトレーニングとして実習が追加された教材で構成されています。生徒は、仮想の組織においてクラウドを安全に使用するための一連の実習を行うことで、知識を取得することができます。実習を用いた学習で、クラスルームで学んだことを確かなものにすることができます。これらのコースは、マスタートレーニングパートナーであるHP社を始めとして、トレーニングパートナーのネットワークを通して、全世界で利用可能です。トレーナーは、離れた場所からの教育方法やオンサイトでオフィスにお伺いする方法を通して、できる限り便利な方法で学習を行えるようにしています。詳細については、https://cloudsecurityalliance.org/education/training/を参照してください。

(日本語追記: 日本では、日本HPからこのコースを提供しています。詳細につきましては、こちらのサイトを参照してください。)

CCSK – 知識に対する投資の補足

CCSKは、最初のセキュリティ関連の認定試験ではありませんし、CCSKが既に取得している認定試験や教育とどのように関連しているのかという疑問があると思います。実質的に、CCSKの初期の取得者は、複数の認定試験を取得していますし、CSAは、他の認定試験を取得しているCCSK取得者のシナジーについて検討しています。CSAは、主要な認定組織と作業を行い、CSAが提供している教育が他の認定試験と協調できるように進めています。今年中には、魅力的な認定パートナーのアナウンスを行うことになるでしょう!

1つの広く知られている認定資格は、ISACAのCertified Information Systems Auditor ®です。CISAは、情報技術監査のゴールド基準と考えられ、職務に関連した専門家に求められています。CCSKは、クラウド環境に必要な内容の提供と監査に焦点を当てていると、CISAは言っています。クラウドがどのように動作しどのように安全に保たれているかについての知識を得れば得るほど、事象のコントロールをテストするための適当な方法を特定し、あまり見られていないITシステムに対する推奨を行うことをやりやすくなります。2つの認定試験を持っていることでクラウド監査員と呼ぶということに対して頭を悩ませる必要はありません。

CCSKの取得者が最も多く持っている認定資格は、 (ISC)2のCertified Information Systems Security Professional® (CISSP)になります。これは、世界で最も普及しているITセキュリティの認定資格になります。CISSPの取得者は、CISSPの知識がCCSKの勉強および合格に非常に手助けになると言っています。CISSPは10個のドメインからなり、CCSKは14個になります。CISSPのすべてのドメインは、CCSKに類似しています。同じドメインのところでは、CCSKはCISSPのドメイン上に作られていて、クラウドにとって重要な内容を提供しているとCISPPは言っています。たとえば、クラウドにおける暗号化を考えると、鍵管理と鍵の暗号文からの分割の問題がより重要になります。さらに、CCSKは4個のドメインを提供していて、クラウドにとって重要な領域について強調しています。それは、Security-as-a-Service、仮想化、移植容易性と相互運用性、データライフサイクル管理です。

CCSK – 将来に向けてのロードマップ

CCSKは、クラウドコンピューティングのすべての利害関係者のために強力な教育基盤を提供しています。私たちは、今まで作ってきたものを止めることはできませんし、課題を克服するためのイノベーションを継続する必要があります。以下が、CCSKプログラムのロードマップになります。

CCSK バージョン4。試験の次のアップデートは、2015年にバージョン4となる予定です。次のバージョンの準備として、2014年後半に更新された知識体系を公開する予定です。CCSKへの2つの最も重要な追加は、ビッグデータ(ビッグデータリサーチを参照)とモバイルセキュリティ(モバイルリサーチを参照)になる予定です。これらの技術は、将来クラウドをどのように運用するかについて、高い親和性を持っています。これらの領域において、すでにリリースしているリサーチを読んだり、ワーキンググループに参加したりすることができます。

CCSK Developer。ベストプラクティスに従って開発者を教育するという重要な要求があります。クラウドが実現している機敏さと未知の出所からのソフトウエアモジュールの利用は、明らかに問題を作り出します。CSAは、2014年9月に開かれたCSA Congress USのワークショップにおいて、最初の開発者向けトレーニングをリリースする予定です。そして、フィードバックをもとに改善を重ねていく予定です。現在の計画では、教育にフォーカスし、認定は行いません。もちろん、コミュニティの意見には耳を傾けていきます。

CCSK Assurance。CSAのガバナンスおよびリスクとコンプライアンスのリサーチは、クラウドの信頼と保証の重要な要素となっていますので、これらのツールを対象とした教育を提供する必要があります。GRCスタックの要素、つまり、Cloud Controls Matrix (CCM), Consensus Assessment Initiative Questionnaire (CAIQ), CloudAudit, Cloud Trust Protocol (CTP)を使用するための深い知識を提供することは、IOT保証の専門家にとって重要です。また、技術的な企業が、継続して信頼されるクラウドであることを自動化することは、クラウドにとっても重要です。CCSK Developerのように、2014年は教育を対象とした計画を立てていますが、認定は行いません。このコースが、CPEとそのほかのセキュリティ関連の認定の大きな情報源となると考えています。

(日本語追記: CCM,CAIQの日本語版等については、こちらを参照してください。)

情報セキュリティは、しばしば旅行にたとえられ、それ自体が目的ではありません。教育は、セキュリティの旅行の始まり、途中、終着です。CCSKが、将来のITを安全にするために必要な手助けとなるものと確信しています。