情報セキュリティ関連の資格は国家資格である情報セキュリティスペシャリスト(※1) を始めとしCISSP、CCNA Security等数多く存在しますが、今回は中でも昨今需要が急激に高まってきているCEH(Certified Ethical Hacker:認定ホワイトハッカー)です。
「ハッカー」という言葉を聞くと、高度な知識やスキルを利用しコンピュータやシステム、あるいはネットワークに不正侵入して情報を搾取したり、システム自体を破壊して企業の業務や重要なインフラシステムなどを停止させる人、という悪いイメージ(※2)を持っている方が多いかもしれません。
しかしながら本来「ハッカー」という用語はコンピュータやネットワークの知識・技術に精通し、それを活かしてシステムやネットワーク等の問題や課題を解決する人、という意味を持っています。
CEHとは本来の意味でのハッカー(ホワイトハッカー)として、様々なツールや技術を駆使し、攻めの姿勢で悪意を持ったハッカーによるサイバー攻撃など、多様化する最新の情報セキュリティ脅威に太刀打ちできる人材、いわば企業におけるヒーローのような存在のことを指しているのです。
※1:2017年4月からは情報処理安全確保支援士制度に変更となる予定です
※2:悪意をもって企業や個人のコンピュータ内部へ侵入し、攻撃などを行うハッカーのことを「クラッカー」と区別して呼ぶこともあります。
CEH資格の詳細と取得に必要な知識や技術
米国のEC-Council社が提供するCEH資格は、国際的に認められた世界で通用する資格であり、アメリカではポピュラーな情報セキュリティ資格の一つとなっています。しかしながらこの資格はIT知識や経験の全くない人が突然取得しようと思っても取得できるものではありません。
資格取得にあたってはEC-Council社が「(悪意のある)ハッカーに対抗するには、ハッカーのように考えることが必要だ」という考えに基づいて設計してトレーニングコースが準備されており、コースを受講することでCEH資格の受験資格を得ることができます。このトレーニングコースは2017年3月現在、バージョン9までリリースされており、下記の18のモジュールから構成され270もの攻撃テクニックを学ぶことができます。言い換えれば、下記表に記載されている言葉の意味を瞬時に理解できない人には、資格取得は難しいものとなっています。
【18モジュールの内容】
| Introduction to Ethical Hacking |
Sniffing | SQL Injection |
|---|---|---|
| Footprinting and Reconnaissance |
Social Engineering |
Hacking Wireless Networks |
| Scanning Networks |
Denial of Service |
Hacking Mobile Platforms |
| Enumeration | Session Hijacking |
Evading IDS, Firewalls, and Honeypot |
| System Hacking | Hacking Web servers |
Cloud Computing |
| Malware Threats | Hacking Web Applications |
Hacking Wireless Networks |
なお、EC-Council社が提供するトレーニングを受講しない場合
- 少なくとも2年以上の情報セキュリティ経験を有すること
- 情報セキュリティに特化した教育を受けていること
などの条件を満たしていることが証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。
なぜ今CEH資格なのか
近年、日本における情報セキュリティ事故に関しては、日本年金機構、ベネッセ・コーポレーション、JTBなどの情報漏洩のニュースがまだ記憶に新しい方も多いかと思います。事故を起こしてしまった場合、規模によっては数十億~数百億の損失を出してしまうだけではなく、情報セキュリティに対して適切な対策・対応をとれていなかったことが判明すると、企業の信頼は失われ多くの顧客流出を招いてしまいます。そして時には訴訟問題にまで発展してしまうことすらあります。また顧客情報ではなく、企業の機密情報が流出してしまった場合には、それまで研究や開発に費やしてきた期間、費用、従業員の想いなどがすべて水の泡となってしまう可能性もあり、結果として企業の事業継続すら危ぶまれる事態に陥ることもあるのです。
来る「IoT/ビッグデータ/AI時代」、そして2020年東京オリンピック・パラリンピック競技大会に向け、企業に対してのサイバー攻撃はより一層増加することが予想されることから、各企業おける情報セキュリティ・サイバーセキュリティの確保は急務となっています。このようなことからも、複雑化・多様化するサイバー攻撃に対し、攻撃者の観点を持ちながら高い技術を持って企業を守ることのできるCHE資格を持つ人材の需要は今後急速に増えていくはずです。
最後に
情報セキュリティ・サイバーセキュリティ対策は、企業のブランド価値を高める指標の一つになりつつあることから、今後企業にとって一層重要なものになっていくことは間違いありません。また総務省が実践的サイバー防御演習を行うとともに、若手セキュリティエンジニアの人材育成等の取り組みを実施するため、国立研究開発法人情報通信研究機構(NICT)に「ナショナルサイバートレーニングセンター(仮称)」を設置する予定となっているなど、国としての取り組みも活発になってきています。
「CEH資格を持っている人材がいる企業=社会的信頼が高い企業」と位置付けられ、CEH資格保持者がいることが企業には欠かせないという日が来るかもしれません。
多くの経験・知識が求められることから一朝一夕で取得できる資格ではありませんが、企業をあげてCEH資格保持者を増やす取り組みをしてみるのはいかがでしょうか。
