サイバーセキュリティコンプライアンスアナリストのスキルを知る

学習の目的

この単元を完了すると、次のことができるようになります。

• サイバーセキュリティコンプライアンスアナリストのキャリアについて説明する。
  
• サイバーセキュリティコンプライアンスアナリストの役割に関連する主要なスキルを挙げる。
  

サイバーセキュリティコンプライアンスアナリストのキャリア

いくつかの質問から始めることで、あなたがコンプライアンスアナリストの役割に適任であるかどうかを見ていきましょう。

あなたは何者か?

ビジネスのセキュリティを高めずにはいられませんか? プロセスの改善に熱意を持っていますか? 複雑な課題を解決するための革新的なインサイトを作成することにやりがいを感じますか? このような質問への答えが「はい」であれば、サイバーセキュリティコンプライアンス分析があなたに適している可能性があります。

何をするのが好きか?

コンプライアンスアナリストの業務には監査と評価の実施や、リスク管理レビューとサードパーティ評価への協力などがあります。この役割の目標は、組織のデータとシステムの機密性、完全性、可用性 (CIA) を確保することです。また、組織内のさまざまなチームと協力して、サイバーセキュリティコンプライアンスリスクを特定して軽減し、内外のステークホルダーに対するサイバーセキュリティコンプライアンスレポートを管理します。組織のサイバーセキュリティコンプライアンス体制を書面によるレポートにまとめ、内外の期限に間に合うようにコンプライアンスの取り組みを管理し、最も重大なコンプライアンスギャップが最初に対処されるように優先順位付けに協力します。

どのような種別の組織で働きたいか? 

アドバイスサービス会社に勤務し、企業がさまざまな法律、規制、標準への準拠を示すレポートを作成するのをサポートすることが考えられます。また、ヘルスケア業界で働き、自分の組織が患者の保護対象保険情報 (PHI) を保護するために、コンプライアンスとドキュメント化の業務に携わることも考えられます。または、政府機関に勤務し、認証プロセスに携わることで政府のシステムのセキュリティを確保したり、承認されたテンプレートやフォームでセキュリティコントロールをドキュメント化したりすることも考えられます。デジタルビジネスを行うほぼすべての業種でサイバーセキュリティコンプライアンスアナリストが必要とされています。

どの時点で組織の業務に関わるか? 

あなたは監査とコンプライアンスのライフサイクルのどの時点で関与するのでしょうか? システムが適用される法規制に準拠していることを確認する組織のポリシーの設定に協力することから、本番システムでサイバーセキュリティ標準が遵守されていることを確認するための内部またはサードパーティによる監査や検査のサポートまで、すべての段階であなたが果たすべき役割があります。また、システム開発中にもセキュリティ設計に貢献し、リリース後にはシステムのコンプライアンス維持に協力します。 

システムのライフサイクル全体に関与することが重要です。たとえば、カード所有者のデータを受け入れるマーチャントに勤務している方は、支払システムがペイメントカード業界 (PCI) データセキュリティ基準 (DSS) 要件を満たしていることをシステム開発中に検証したことがあるかもしれません。ただし、もしその後にシステムが不適切にリリースされたり、他の違反があるホスト環境にリリースされたりした場合には、コンプライアンスを達成しなかったことになります。システムコントロールを維持し、設定の変容を防ぐには、コンプライアンスから逸脱することがないようにリアルタイムで追跡とチェックが可能なプロセスや対策を設定する必要があります。

この役割でどのように成功するか? 

このすべてをどうやって達成すればよいのでしょうか? 詳しく見るために、サイバーセキュリティコンプライアンスアナリストの Earl を紹介します。彼は消費者の金銭的利害を保護することを専門とする政府機関に勤務しています。この機関では、企業がお客様の金融データを保護するためのサイバーセキュリティ保護をどのように実装すべきかという法律など、消費者の金融保護法を作成して適用しています。サイバーセキュリティコンプライアンスアナリストとして Earl は次のことを行います。

• 金融会社がお客様の金融データに関するサイバーセキュリティのルールと法律を理解してそれに準拠するためのガイドラインを提供する。そのようなリソースにはたとえば、規制ガイダンス、送金法マップ、金融セクターエグゼクティブ向けガイドなどがあります。
  
• 企業がお客様の金融データの保護に関する法律にどの程度準拠しているかの審査を実施する。たとえば、グラム・リーチ・ブライリー法 (GLBA) と連邦取引委員会 (FTC) のセーフガードルールによると、金融機関はお客様の名前、電話番号、クレジットカード口座番号などの情報を安全に保つための対策を講じる必要があります。Earl はこのような金融機関に顧客情報を保護するプログラムについて説明した書面による計画があることを確認する審査を実施することがあります。
  
• マーチャント、銀行、クレジットカード処理会社でカード所有者データの受け入れ、保存、処理、送信を行うシステムの詳細な調査を主導して規制へのコンプライアンスを評価することでセキュリティギャップを調査する。
  
• ドキュメント、役割と責任、プロセスを分析することで企業のポリシーが規制にどのように対応しているかを評価し、システムがセキュリティ要件を満たしていることを確認する。
  
• 管理コントロールや技術的コントロールを評価して、具体的なセキュリティコンプライアンス要件が満たされていることを確認する。このような要件には、安全なネットワークとシステムの構築と維持、カード所有者データの保護、脆弱性管理プログラムの維持などが挙げられます。
  
• カード所有者データの受け入れ、保存、処理、送信を行うシステムなどについて、システムの安全な設定のメンテナンスを検証する。
  
• 審査の主要な発見事項を共有することで、組織がセキュリティリスクを抑え、顧客金融データの保護に関する法律に準拠できるようにする。
  
• 企業が進化する情報テクノロジー (IT) 環境で安全に操業し、適用される法律と規制への準拠を維持できるように、コンサルタントとしての役割を果たす。
  

なぜこの役割を検討すべきか?

あなたが Earl のようなサイバーセキュリティコンプライアンスアナリストのキャリアを検討すべき理由は何でしょうか? これは重要な業種で急速に成長している分野です。サイバーセキュリティコンプライアンスアナリストはビジネス全体を対象として、セキュリティプログラムのさまざまな側面 (境界防御、アクセス制御、暗号化など) の実装や管理に関与します。また、データインシデントの可能性の認識向上や、組織のコンプライアンスレポートの作成に大きな影響を及ぼします。この役割では学習と成長の機会も豊富です。最後に、競争力のある報酬が得られることも重要です。すばらしいと思いませんか?

サイバーセキュリティコンプライアンスアナリストのスキル

Earl のように、あなたは組織がサイバーセキュリティの法律、規制、標準、ポリシーを理解し、実装し、遵守するために力を発揮したいと考えています。では、このキャリアを追求するには、どのような教育とスキルが必要なのでしょうか?

教育

中等教育後の 2 ～ 3 年のコースを修了することが応募の要件となる特定の初級サイバーセキュリティ職種を見つけることは可能です。ただし、ほとんどの職種はサイバーセキュリティまたは関連分野 (IT、コンピューターサイエンス、科学、テクノロジー、工学、数学 (STEM)、ビジネス管理など) での 4 年制の学士号が要件となります。 

経験

通常、雇用主はサイバーセキュリティポリシーおよび計画の分析と開発に 2 ～ 8 年の経験を持つ候補者を探しています。リスク分析の経験も有利です。サイバーセキュリティコンプライアンスアナリストには、お客様やチームメンバーに技術、ポリシー、機能上の問題をブリーフィングした経験も必要です。 

認定資格

スキルを高め、足掛かりを得るために、認定資格を取得することをお勧めします。一般的なサイバーセキュリティコンプライアンスアナリストの認定資格を次にいくつか挙げます (一部の認定資格は取得するために特定の年数の経験が必要です)。

• The Computing Technology Industry Association (CompTIA) A+ (Plus) 認定資格
  
• The International Information System Security Certification Consortium (ISC)² 認定情報システムセキュリティプロフェッショナル (CISSP)。この認定資格には 5 年間の経験が必要です。必要な経験がない場合には、必要な実務経験を得るまで (ISC)² のアソシエートになることができます。
  
• The Information Systems Audit and Control Association (ISACA) 認定情報システム監査人 (CISA)。この認定資格には 5 年間の経験が必要ですが、その他の関連する実務経験や教育に基づいて年数を減らす方法があります。
  
• The Global Information Assurance Certification (GIAC) Security Essentials (GSEC) 認定資格
  
• ISACA リスクおよび情報システムコントロール (CRISC) 認定資格
  

ナレッジ

サイバーセキュリティコンプライアンスアナリストは、セキュリティフレームワーク、規制、標準などの基本を十分に理解しておくことが重要です。National Institute of Standards and Technology (NIST) のサイバーセキュリティフレームワーク、ISACA の情報関連テクノロジーのコントロール目標 (COBIT) フレームワーク、PCI DSS などのセキュリティガバナンス、コンプライアンス、リスク管理フレームワークに精通している必要があります。コントロール評価手法 (アンケート、現地訪問、侵入テストなど) に関する知識も役立ちます。その他に必須ではないが有用な専門知識の領域として、データ保護、アクセス制御、ネットワークおよびエンドポイントセキュリティ、インシデント対応および処理、脆弱性管理、ファイアウォールなどが挙げられます。 

ビジネススキル

技術的なスキルに加えて、ビジネススキルを磨くことも重要です。サイバーセキュリティコンプライアンスアナリストとして成功するには、要件や発見事項を効果的に伝え、セキュリティギャップを分析し、戦略的に考えることが必要です。組織内のさまざまなステークホルダーと相談し、卓越したリーダーシップや組織スキルを発揮する方法を知っておく必要があります。チームの一員として働き、質問や問題の答えを調査し、細部に注意を払うことに前向きである必要があります。 

スキルファースト

学歴や資格といった従来の証明書も重要ですが、サイバーセキュリティはスキルファーストのアプローチにますますシフトしています。つまり、雇用主は、正式な認定資格だけでなく、スキルと能力の実証された証拠を優先しているのです。このような変化する状況に備えるために、重要なスキルの習熟度を高めるチームプロジェクトや独立したプロジェクトに参加してください。自分の技能レベルを明確に証明するものとして、こういったプロジェクトを業績のポートフォリオ (github や個人の Web サイトなど) に文書化して、履歴書と一緒に送ったり、面接時にアピールしたりします。最後に、面接の際には、雇用主が求める必須スキルを自分が持っていることをアピールできるように準備してください。

まとめ

このモジュールでは、サイバーセキュリティコンプライアンス分析の目標について学習しました。また、サイバー攻撃を阻止し、組織が法律、規制、ポリシーに従ってセキュリティリスクを軽減するためにサイバーセキュリティコンプライアンスが重要であることをさらに詳しく学習しました。サイバーセキュリティコンプライアンスアナリストの任務、スキル、認定資格についても理解しました。 

次のモジュールである「サイバーセキュリティコンプライアンスアナリストの責務」では、サイバーセキュリティコンプライアンスギャップを特定し、サイバーセキュリティコンプライアンスリスクを管理する方法について学習します。また、サイバーセキュリティコンプライアンス体制の変更を検出する方法や、サイバーセキュリティコンプライアンスインシデントや発見事項に対応し、そこから復旧する方法についても学習します。サイバーセキュリティの各ロールについて学び、セキュリティのプロフェッショナルの話を聞く場合は、Trailhead のサイバーセキュリティの学習ハブを参照してください。

リソース

• 外部サイト: NIST: Getting Started with the NICE Framework (NICE フレームワークを使ってみる)
• Trailhead: サイバーセキュリティの証明書と認定資格