タグ別アーカイブ: CAIQ

CCAKの合格者経験記

《CCAKの合格者経験記》

2023年9月20日
三優監査法人
システム監査技術者、CCAK
堺由美子

🔳CCAK取得の目的と経緯

クラウドセキュリティの監査について体系的に学ぶこと、「英語で勉強・英語で資格取得」に慣れることを主な目的として、新設されたCCAKに挑戦することを2021年春に決意。途中、別の資格試験を優先したり業務多忙で勉強を中断したりの後、2023年７月初旬にようやく受験、合格しました。

🔳どこからスタートだったか

CCAKは「CCSKをベースにして、それを補完する内容」とされていますが、CCSKは未取得（未勉強）でした。
システム監査やITガバナンス、情報セキュリティの知識、データセンター・クラウドの各種認証取得実務の経験がありました。
技術者ではありません。
英語は、読むのがそれほど苦ではない（何度も同じ単語を辞書で引いても折れずに読み続けられる）レベルでしたが、英語での勉強・受験は未経験でした。

🔳使用した教材

CCAK Study Guide
諸角さんの講演資料（「クラウド監査人向けクラウドセキュリティ認定資格 CCAK(Certificate of Cloud Auditing Knowledge) 解説」, 2022年1月24日）。本資料はこちらからダウンロードできます。
CCAK Questions and Answers Collection（200問の問題集）
CSAおよびCSAジャパンの各種ドキュメント（セキュリティガイダンス v4.0他）
UdemyやLinkedIn Learningの「XX入門」講座（DevOps等、そもそも不足していた知識の補強）
また、会社（当時）でMicrosoft Azureの資格試験を受ける機会があったので、ボキャブラリ獲得と英語受験の練習としてMicrosoft Azure Fundamentals (AZ-900)を英語で勉強・受験しました。

🔳学習方法

当初はStudy Guideの目次と各章冒頭にあるOverviewで全体の構成を把握し、気になる箇所・知識不足の箇所を中心に読んでいこうとしましたが、”Governance”や”Compliance”がいろいろなところに出てきたりして構成があまり頭に入って来ず、捗りませんでした。

そこでQuestions and Answers Collectionに取組み、正答できなかったところをStudy Guideで確認、惨敗なところは一旦中断してCSAジャパンの翻訳資料を参照したり、Udemy等の入門講座をあたりました。Questions and Answers Collectionは3回くらい繰り返したと思います。

🔳CCAK取得に挑戦中/取得を検討中の方へのTIPS

Study Guide
- PDF版がおすすめです。ダウンロードで即入手できますし、わからない単語を調べたり翻訳したりが簡単です。（読み上げツールも試しましたが、起きていられませんでした。）
  とはいえ断然紙の方が勉強しやすいので、PDFファイルを好きなところで分割し、ネットのプリントサービスで製本して利用しました。
Questions and Answers Collection
- ブラウザで利用するので、ページの翻訳が使えます。英語で読んで英語で回答しないと試験対策になりませんが、解いた後の回答確認・解説は適宜翻訳して日本語で読み、脳の負担を減らしました。
- 回答の解説は、残念ながら日本の情報処理技術者試験の問題集のようには全く充実していないです。
- 購入すると12ヶ月間アクセス可能ですが、６ヶ月単位で延長できます（39ドルでした）。
受験申込み
- 購入すると有効期限が12ヶ月あります。準備万端となっていなくても購入し、自分を追い込むのも一手です。（有効期限が近づくと「これをもう一回受けるのはイヤだ！（受験料も高いし円安だし）」が強烈なモチベーショとなり、壮絶なまでの締切効果を得て乗り切れました。）
受験当日（オンライン）
- CCSKとは異なり、試験中は何も参照できません。
- 試験官やカスタマーサポートも外国人で英語、本人確認に国内の免許証等は使えません。
- （ISACAに旧姓で登録しているのにGovernment Issued ID Family Nameが空欄のままだったので、パスポートでも本人確認してもらえないことにチェックイン時になって気づき、試験直前に英語サバイバル訓練を余儀なくされてかなり消耗してしまいました。）
- 早めにISACA Certificate Programs Exam Guideをよく読み準備しておくことをおすすめします。

🔳受験を終えて

以前から効率的な知識習得のために資格試験を利用していましたが、今回も「無知の知→勉強」を繰り返し、英語訓練もできたので、大変でしたが挑戦して良かったです。

CSAジャパンの豊富な翻訳資料・講演資料に大いに助けられました。どうもありがとうございました。

以上

グローバルプロバイダが日本語CAIQ評価レポートを登録する方法

コメントをどうぞ

2023年4月3日
CSAジャパン　諸角昌宏

本ブログは、すでに英語のCAIQ自己評価レポートをCSAのSTAR Registryに登録しているプロバイダ（グローバルにクラウドサービスを展開するプロバイダ）が、日本語でのCAIQ自己評価レポートをSTAR Registryに登録する方法について記載します。

日本語CAIQとSTAR Registryの状況
まず、STAR Registryへの日本語CAIQ評価レポートの登録についての状況について説明します。
- STAR Registryへの登録に必要なCAIQ評価レポートの内容（EXCELシートに書き込む言語）は、英語でも日本語でも可能です。
- STAR Registryのサイトは英語でできているため、登録方法、運用はすべて英語になります。登録時の手順（ウエブの登録用画面等）はすべて英語になります。また、STAR Registryの検索等の運用もすべて英語になります。

この状況を踏まえて、CSAジャパンでは、「日本語での評価レポートの公開方法およびLevel1セルフアセスメントの重要性について」というブログで、日本語で評価したCAIQをSTAR Registryに登録する方法を紹介しています。しかしながら、こちらはあくまで日本のプロバイダがSTAR Registryに登録する場合を想定していますので、すでにCAIQを英語で登録されているプロバイダが日本語CAIQを追加する方法が分かりません。そこで、その方法について説明したものが本ブログになります。

すでに英語版のCAIQ評価レポートを登録されている場合の日本語CAIQ評価レポートの登録方法CSAグローバルに確認したところ、複数言語に対して、以下の対応を行っています。
STAR Registryの登録ページの以下のDocument Upload ページで、Supporting Documentにアップロードすることでできます。

以下のようにすることで、英語版と日本語版の両方をアップすることができるとのことです。
Primary Document: 英語版CAIQ
Supporting Document #1: 日本語版CAIQ

STAR Registryそのものはマルチリンガル対応していないのですが、複数のCAIQ評価レポートを公開する仕組みはできているので、これを使うことが可能になるということです。
なお、登録自体は本社（英語版を登録した部署）の方でSTAR Registryを担当されている方と共同して行っていただく必要があります。
日本語版CAIQ評価レポート登録後のCSAジャパンの支援
STAR Registryでは、日本語でCAIQ評価レポートを登録しているのを検索することができません。つまり、プロバイダが日本語で公開しているかどうかは、STAR Registryで該当するプロバイダの登録内容を確認してみないと分からないということになります。そこで、CSAジャパンでは、日本語でCAIQ評価レポートを公開しているプロバイダが一目でわかるように、また、日本語でCAIQ評価レポートを公開していることを周知できるように、以下のように支援しています。
- CSAジャパンの以下のウエブページから、日本語版CAIQ評価レポートを公開しているプロバイダを紹介します。https://www.cloudsecurityalliance.jp/site/?page_id=19811
  現在、「準備中」ということで、プロバイダの情報が整い次第公開を開始します。
- CSAジャパンのホームページの新着情報として紹介します。
- CSAジャパン会員及び連携団体向けメールニュース配信を行います。
- CSAジャパンのフェースブックグループから紹介します。

今後について
CSAジャパンは、上記の方法による登録について、CSA本部の担当者およびSTAR/CCM/CAIQの責任者と連絡を取って対応します。従いまして、何か問題が発生した場合には、CSA本部と連携を取りながら対応していきます。
それから、STAR Registryそのものをマルチリンガル対応にしていくことが必要と考えています。これに関しても、CSA本部と協議を進めていきたいと考えています。

以上

日本語での評価レポートの公開方法およびLevel1セルフアセスメントの重要性について

1件のフィードバック

本ブログでは、STAR Level1セルフアセスメントの重要性および日本語での評価レポートの公開方法について記述します。

2021年10月２０日
CCM/STAR WGメンバー　諸角昌宏

クラウドサービスプロバイダが、提供するクラウドサービスのセキュリティ情報を公開することは非常に重要です。クラウドセキュリティにおける責任共有モデルにおいては、クラウドサービス利用者は、自身が管理するセキュリティとプロバイダが管理するセキュリティの両方を把握し説明責任を果たすことが必要で、そのためには、利用するクラウドサービスのセキュリティレベルを把握する必要があります。これは、利用者がプロバイダに直接確認することで行えますが、たくさんの利用者を抱えているプロバイダが、利用者ごとの問い合わせに対応することは非効率です。そこで、プロバイダが、提供しているクラウドサービスのセキュリティ情報をあらかじめ公開することで、利用者は公開された情報に基づいてクラウドサービスのセキュリティレベルを把握することができます。また、プロバイダは、利用者からの個別の問い合わせに対応する作業を削減することができますし、セキュリティ情報を積極的に公開することにより、セキュリティをビジネス上の差別化要因とすることができます。

STAR Level1セルフアセスメントは、CSAが提供しているCAIQ（Consensus Assessment Initiative Questionnaire）に、プロバイダが自己評価した結果を記述し、それを公開するウエブサイト（CSA STAR Registry: https://cloudsecurityalliance.org/star/registry/）を提供しています。このCSA STAR Registryには、STAR認証が提供する3つのレベルの情報が公開されていますが、CAIQの評価レポートは、STAR Level1 セルフアセスメントとして公開されています。STAR Level1 セルフアセスメントのようなセキュリティの透明性に対する取り組みは、特に欧米のプロバイダは積極的に行っています。CSA STAR Registryには、1000以上のクラウドサービスが登録されていますが、その大部分がSTAR Level1セルフアセスメントとしてCAIQ評価レポートを公開しています。

CSAジャパンでは、日本のプロバイダが積極的にセキュリティ情報を公開できるように支援していきます。以下の2つのアプローチになります。

日本語CAIQ評価レポートの登録手順を日本語で提供
STAR Level1 セルフアセスメントの登録手続きは、英語で行う必要があります。会社名やクラウドサービス名、およびそれらの概要等は、英語で記述する必要があります。CSAジャパンでは、日本語CAIQ評価レポートの作成から、STAR Level1 セルフアセスメントの登録までの一連の手順を日本語で記述しました。以下のウエブサイトを参照してください。
https://www.cloudsecurityalliance.jp/site/?page_id=1005
日本語 CAIQ評価レポートを公開されているプロバイダとクラウドサービスの情報を公開
CSA STAR Registryには、すべてのクラウドサービスの情報がアルファベット順にリストされています。この中から、日本語CAIQ評価レポートを公開しているプロバイダ及びクラウドサービスを探すことは難しいです。そこで、CSAジャパンでは、CSAジャパンのウエブサイトから、日本語 CAIQ評価レポートを公開されているプロバイダとクラウドサービスの情報を公開することとしました。以下のウエブサイトになります。
https://www.cloudsecurityalliance.jp/site/?page_id=19811
なお、日本語 CAIQ評価レポートを公開されているプロバイダ及びクラウドサービスをすべて把握することが難しく、このサイトの情報はCSAジャパンが把握できているもののみになります。日本語 CAIQ評価レポートを公開されていて、このサイトにリストされていないものがありましたら、以下のメールアドレスまでご連絡ください（注意：　@の前後のクオーテーションを削除してください）。 info’@’cloudsecurityalliance.jp

以上