サイバーセキュリティアーキテクトのスキルを習得する
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティアーキテクトの責務について説明する。
- サイバーセキュリティアーキテクトになるために必要な主なスキルを挙げる。
サイバーセキュリティでのキャリアを検討する
何かを組み立てた後、そのしくみを知るために分解することが好きですか? 次から次へと現れる最新のテクノロジーやツールについて学びたいと思いますか? テクノロジーの多様な側面に関与するキャリアに携わりたいと思いますか? 上記の答えがイエスなら、サイバーセキュリティアーキテクチャはあなたにぴったりのキャリアかもしれません。テクノロジーやビジネスのセキュリティロードマップとなる、企業のサイバーセキュリティアーキテクチャを構築するのがサイバーセキュリティアーキテクトです。
サイバーセキュリティアーキテクトの責務
Aria をご紹介します。公共向けの支援プログラムを実施する政府機関のサイバーセキュリティアーキテクトです。この機関では、クラウドでホストする顧客向けのアプリケーションを構築しています。彼女の職務は、将来のプロジェクトでこのシステムを拡大できるようにすることと、これまでに使ったことがないようなテクノロジーや手法を使用してアプリケーションを開発する方法をチームが理解できるようにすることです。つまり、テクノロジーや脅威の状況が絶えず変化していることを踏まえ、今日ではなく、明日を見据えた設計を行っています。
サイバーセキュリティアーキテクトである Aria の第一の責務は、ビジネスニーズを特定し、ビジネス計画とサイバーセキュリティ計画を緊密に連携させることです。そのため、組織にとって特に貴重なアセットと、そのアセットに対する脅威を特定します。次に、アセットを侵害から守る具体的なコントロールを見極めます。
また、ビジネスのテクノロジーを保護するために、セキュリティの多層化アプローチに基づいてコントロールをどのように配置するか判断します。最新テクノロジーの選択について助言するほか、セキュリティコントロールの設計、構築、適用を行う開発チームをサポートします。さらに、新しいソリューションを企業全体にデプロイする前にテストする計画も作成します。この計画には、テストシナリオや、コントロールが適切に機能しているかどうかの判断基準などが記載されます。
セキュリティコントロールを設計してデプロイした後は、組織のリスク状況の変化の検出に注意を払い、必要に応じてセキュリティコントロールやアーキテクチャを更新します。システムに脆弱性がないかテストし、組織の IT セキュリティの状態を監視するシステムセキュリティ評価を主導します。万が一侵害が発生した場合には、インシデントに対処し、セキュリティイベントから復旧できるようにサポートします。
サイバーセキュリティアーキテクトのスキル
Aria のように、ビジネスニーズを特定し、会社のシステムやデータを保護するセキュアなテクノロジーソリューションを設計してデプロイする方法を考案する仕事に関心がある場合、このキャリアを追求するにはどのようなスキルが必要なのでしょうか?
教育
学歴について言えば、通常はコンピューターサイエンス、ビジネス情報システム、情報技術の学士が求められ、修士があると有利になる場合もあります。サイバーセキュリティアーキテクトのロールは概して上級職で、一般にはさまざまなロールでの 6 ~ 9 年の IT 実務経験が必要です。
経験
雇用主は、コンピューターの中核機能、ストレージやファイルシステム、コーディング、セキュリティオペレーション、アプリケーション開発、システム分析、侵入テスト、脆弱性評価、設定確認、脅威モデリング、リスク評価の広範な経験を有する応募者を求めています。多くの人々は上記のいずれかの分野でキャリアを開始し、経験を積んだ後アーキテクチャに移行します。一般に、サイバーセキュリティアーキテクトは、まずエンタープライズアーキテクトとしてスタートし、その後セキュリティの専門知識を蓄積していきます。
長い道のりのように聞こえるかもしれませんが、サイバーセキュリティアーキテクトになるために開発やセキュリティの達人である必要はありません。スポーツ界でも古くから「名選手、名監督にあらず」と言われています。サイバーセキュリティアーキテクトになれば、コードを記述したり、ファイアウォールを設定したりという実際的なプロセスに携わるよりも、大局的な概念を設計してデプロイするといった任務を担うことのほうが多くなります。会社のセキュリティ目標を達成するために、セキュアなシステムの構築に使用するアーティファクトを開発することが期待されます。Aria のように、極めて機密性の高いデータを保護するセキュリティコントロールを組織がデプロイする場所と方法を文書化します。
認定資格
スキルを向上させるために、認定資格を取得することをお勧めします。サイバーセキュリティアーキテクト向けの一般的な資格として、認定情報システムセキュリティプロフェッショナル資格 (CISSP)、プロジェクトマネジメントプロフェッショナル (PMP)、公認情報システム監査人 (CISA) などさまざまなものがあります。また、特定のテクノロジーに大きく依存している企業で働きたいと思っている場合は、Amazon Web Services (AWS) 認定セキュリティ - 専門知識など、テクノロジーに特化した認定資格が特に役立ちます。
ナレッジ
サイバーセキュリティアーキテクトは、米国標準技術研究所 (NIST) のサイバーセキュリティフレームワークなど、一般的なサイバーセキュリティフレームワークに精通している必要があります。また、暗号化、ネットワークセキュリティ、認証などのセキュリティ概念を理解し、各種のオペレーティングシステムを扱った幅広い実務経験が求められます。脆弱性評価やシステムセキュリティ評価の実施についても熟知しているものとします。
ビジネススキル
上記のテクニカルスキルのほか、ビジネススキルを磨くことも大切です。サイバーセキュリティアーキテクトとして成功する大きな要素は、技術分野の人々とも非技術分野の人々とも同じように効率的なコミュニケーションがとれることです。サイバーセキュリティアーキテクトは、ハッカーのマインドセットを備えた企業のリーダーです。こうした人々は、大きな問題に取り組み、新しいことを学び、組織をセキュアなデジタル未来に導くことに強い関心を抱いています。判断に関するアドバイスやチーム間のコラボレーション、問題解決などにも難なく対応できる必要があります。調査、執筆、プレゼンテーションの高度なスキルも求められます。プロジェクト管理に長け、細部にこだわり、新たなアプローチに対する好奇心をもってこの職務に取り組みます。
サイバーセキュリティアーキテクトは概して、目まぐるしく変化する環境で仕事をするため、退屈することがほとんどありません。また、高い報酬を得ることができます。求人数も多く、成長著しい分野です。すばらしいと思いませんか?
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。次のパラグラフの空欄に、ドロップダウンに設定されている選択肢から適切な語句を選択します。すべての空欄に語句を選択したら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。
おつかれさまでした。
まとめ
このモジュールでは、サイバーセキュリティアーキテクチャの目標を挙げ、堅牢なセキュリティロードマップを設計してデプロイすることの重要性について詳述し、サイバーセキュリティアーキテクトの責務とスキルを明らかにしました。
次の「サイバーセキュリティアーキテクトの責務」モジュールでは、ビジネスニーズとセキュリティの脅威を特定し、多層化セキュリティ機能でビジネスやテクノロジーを保護する方法を学習します。また、リスク状況の変化を検出し、インシデントに対処して復旧する際の各自の役割についても学びます。サイバーセキュリティとセキュリティ担当者の実務に関心がある方は、サイバーセキュリティの学習ハブを確認してください。
リソース
- 外部サイト: National Institute of Standards and Technology (NIST): National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework (米国サイバーセキュリティ教育イニシアチブ (NICE) のサイバーセキュリティワークフォースのフレームワーク)
- 外部サイト: SANS: 20 Coolest Cyber Security Jobs (サイバーセキュリティの分野で活躍できる 20 の仕事)
- Trailhead: サイバーセキュリティの学習ハブ