2014/08/04 (月曜日)
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
7月30日に行われた掲題の勉強会の内容について概要を報告します。
まず、日本HP社の吉田豊満さんからCCSK資格について、試験内容、および、日本HPさんで行われているCCSKトレーニングについて説明がありました。
- CCSK試験についてクラウドコンピューティングにおけるセキュリティスキルの重要性から、2010年にリリース。資格取得状況は、正確な数字は無いが、全世界で数千人(毎年倍々で増えている)、日本人の取得者は30人程度。試験の合格率は60%程度とのことです。
- CCSK試験内容広範囲かつ基本的な知識をテスト。必要な知識は、CSAのガイダンスおよびENISA。試験は、オンラインでの選択方式。
- CCSKのトレーニング日本HP社では、以下の2つのコースを開設
① CCSK Foundation (座学)
② CCSK Plus (AWSを使った演習)
次に、ラスカウスキー 照美さんによる、CCSK試験の内容、CCSKトレーニングの内容の説明がありました。ラスカウスキーさんは、情報セキュリティコンサルタントとして25年くらいの経験があり、トレーニングも行っています。
- CCSK試験の内容 ITの資格には、クラウドがほとんど入っていないのが現状。CCSKは、クラウドのセキュリティに特化した試験。
① 試験内容 Internetでの受験となる。情報を見ながら行うことが許されている。したがって、横にCSAのガイダンス、ENISA、Googleを開いて行うことができる。ガイダンス等を読んでおくことで、質問の該当箇所がどこかがわかるのがよい。なお、Internet接続が確実なところで受験するのが良い。途中で回線が切れたりした場合には、試験自体が終了となってしまうため。
② 合格への近道トレーニングを受講するのは有効。 CSAガイダンス、ENISAリスクレポートを読む。トレーニングを受けたら、速やかに試験を受ける。
- CCSKトレーニング Foundationは、6つのモジュールから構成されている。CSAのガイダンスの各domainは、それぞれモジュールのどこかに入っている。 CCSK Plusのトレーニングは、ハンズオン・トレーニングで、AWSを使ったパブリッククラウドの実習(WordPressを使ったブログシステムを作る)、および、OpenStackを使ったプライベートクラウドの実習となっている。CCSK試験にはあまり関係ないが、実習を通して使用してみることでより知識が深まることになる。
最後に、諸角よりCCSK体験談を説明しました。CCSK対策のポイントとしては、以下の5点があります。
- CSAガイダンスとENISAのリスクレポートは熟読する。CSAガイダンスの推奨事項はできるだけ抑えておく。また、ENISAの用語についても抑えておく。
- 試験時間は十分ある。経験では、一度すべて回答し、再度すべての回答をレビューしても余るくらいの時間はあるので、あせらず進める。
- 回答ごとのチェックをうまく利用する。「Mark for review…」というボタンがあるので、不確かな回答については後でレビューできるようにこれをマークしてから次の問題に進む。
- V3.0は、V2.1に比べて、クラウドセキュリティの一般知識で回答できる問題が増えているようである。
- 試験の結果は公開され、ドメインごとの正解率が表示されるので、結果を見て弱いドメインについて勉強する。
なお、勉強会の資料は、CSAジャパンのウエブサイトより公開されています。こちらを参照してください。