こんにちは、電通総研 コーポレート本部 サイバーセキュリティ推進部の櫻井です。
本記事ではCompTIA SecurityX認定に関する紹介をします。
なお、本記事でご紹介する資格の情報は2025年5月時点のものとなります。
CompTIA SecurityX認定とは?
CompTIAはIT業界内で作成された各業務の実務能力基準の認定活動などを行っているIT業界団体であり、同様の団体にはISC2(International Information System Security Certification Consortium)やISACA(Information Systems Audit and Control Association)が挙げられます。 また、CompTIA SecurityXはCompTIAのサイバーセキュリティ分野の資格群では最上位(EXPERT)にマップされています(※1)。
想定される受験者としてサイバーセキュリティ分野における高位の実務者を想定していますが、ガバナンス、リスク、コンプライアンスの要件と法律を意識した設計での知識も要求されます(※2)。また、米国国防総省指令 8140.03M で定義されている DCWF(The DoD Cyber Workforce Framework)内のワークロールにもマッピングされています(※3)。
あとから思いましたが、なんかすごそうな資格です。
※1 Comptia IT Certification Roadmap
※2 Comptia 公式サイト(日本語)
※3 CompTIAとDoDM8140.03:サイバーセキュリティ分類標準の遵守
以降、CompTIA SecurityXを本試験と表記しますのでご了承ください。
受験に至った経緯
筆者は前職までオンプレ、クラウドを問わずシステムの設計/構築/運用を行ってきました。電通総研に中途入社し、現職(サイバーセキュリティ推進部)の業務ではシステムのリスク評価や社内のガバナンス、リスク評価、技術的セキュリティレビューに関わる必要があり、包括的なセキュリティフレームワークの知識を習得することが必要と考えている最中に本試験の存在を知りました。
本試験の他に横並びで受験を検討していたものとしては、ISC2が主催するCCSP(Certified Cloud Security Professional ※4)やCISSP(Certified Information Systems Security Professional ※5)がありましたが、前段となるSecurity+や CySA+が存在し、ステップアップがふみやすい点を考慮し、本試験を含むCompTIAの認定試験を選択しました。
また、本試験は2024年12月に新しく配信が開始されたCAS-005と以前から存在するCASP+(旧CompTIA Advanced Security Practitioner+)から名称が置き換えられたCAS-004の2種類の試験が受験可能が存在しますが、今回は予約時点で日本語試験対応済みであったCAS-004を受験しています。
試験概要
CompTIA公式の紹介から要点を紹介します。(※6)
- テスト形式:CBT(ピアソンVUE予約)
テストセンター受験、オンライン受験(※7) - 問題数:最大90問
- 出題形式:単一/複数選択、パフォーマンスベーステスト
- 試験時間:165分
- その他
退出(とりわけ途中離席)が可能かはテストセンターに事前に確認した方がよさそうです。
※6 CompTIA CASP+ 試験情報
※7 CompTIA オンライン試験実施概要
単一/複数選択
複数の選択肢から1つの選択肢を選ぶ一般的な選択問題です。
パフォーマンスベーステスト
一般的な表現ではシミュレーション問題となります。正解の選択肢が複数存在するケースについては全て選択する必要がありますのでその点を注意してください。また、事前にCompTIA公式のサンプル問題を確認しましょう。(※8)
※8 CompTIA パフォーマンスベーステスト サンプル問題
試験に出題される領域
一言でいうと「幅広い」という表現になり、本試験では主に技術用語に関して膨大な知識を要求されます。 セキュリティなら全部という表現が正しいですが、技術の階層に関してはオンプレ or クラウド、アプリケーション or インフラという二者択一ではなくセキュリティすべての領域が対象です。 様々な試験を受けてきた筆者ですが、ここまで広範囲の領域を問われる試験は経験がなくひたすら自力を要求されます。
設計/開発のみの経験しかない場合はインシデント対応やリスクアセスメントのケース問題で悩むことはあるかと思いますが、必要とする知識を備えていれば後述の問題集を元に対応することは可能だと筆者は考えています。
- 注意点
本試験には一般的なITインフラから外れる内容として産業向けインフラ分野が含まれています。筆者もこの試験を受ける前まで触れたことがなく、大部分の方は初めて接することになると思われますので、用語リストで確認を行いましょう。
分野配分
本試験の分野としては以下の4分野の配分となっています(※9)。海外の法律に関する問題を含め、普段あまり触れることのない領域の問題も出題されますので、後述の略語リストで確認を行いましょう。
予約方法
ピアソンVUEのサイト(※10)からログインを続行することでCompTIA側のサイトにリダイレクトされるので、新規にアカウントを作成することで試験情報の紹介や試験予約が可能になります。
- 注意点
住所は正しく登録しましょう。CBT試験開始前に氏名と住所による身分証明の確認は当然行われますが、合格した場合は数か月後に郵送で資格証が登録している住所に届きますので郵送も可能なように登録する点に注意しましょう。(※11)
※10 ピアソンVUE CompTIA | コンプティア認定試験
※11 CompTIA 認定証の発送方法
利用したコンテンツ
筆者はTAC社のCompTIA Security X(旧 CASP+)(CAS-004)Web模擬試験を利用しました。利用してみて評価はかなり高いです。
- 実際の試験と同じ出題形式でまとまっており、確認と仕上げをするには十分な分量です。
- 要点と注意点(※12)
- 問題数は模擬試験2回分。
- コンテンツ利用期間は購入してから約2か月の期間で、TAC社の専用Webサイトでの利用となります。
- 購入後、初回ログインのためのID/Passwordは登録住所に郵送となります。(1週間程度かかります)
事前に細かいところまで知識を詰めたいということであればCompTIA公式のThe Official CompTIA CASP+ Self-Paced Study Guide 書籍 日本語版の利用を検討してもよいと思います。(※13) 筆者は後述のおススメの勉強法でも紹介している通り、本試験のみに合わせた方法はでなくても合格できると考えているため、Study Guideの利用は見送りました。
また、udemyのコンテンツの利用も検討しましたが、以下の理由から筆者は良質なコンテンツを選ぶ難易度が高いと判断したため見送りました。
- 本試験に適合するe-Learningのコンテンツは現時点で日本語非対応のものしか見当たらなかった。
- 問題集は、多数存在するが、玉石混交であるため見分けるのが難しい。
※12 TAC社 CompTIA「Web模擬試験」
※13 CompTIA jp Store The Official CompTIA CASP+ Self-Paced Study Guide
筆者の前提知識
先の通り筆者はオンプレ&クラウド、ネットワーク&セキュリティのごちゃまぜエンジニアです。担務領域に関しては特にこだわりなくなんとなく興味を持った資格は取得してます。(※My credly)
その点を踏まえ、次のセクションの勉強法では各分野の知識を既に習得済みの上級者(CompTIAの想定する10 年間の一般的な IT の実務経験済み)向けの勉強法と、上級者に該当しない中級者向けの勉強法に分けて紹介します。
| AWS | Azure | CompTIA | その他 | |
|---|---|---|---|---|
| AWS Certified Solutions Architect - Associate |
Azure Administrator (AZ-104) |
Associate Cloud Engineer |
CompTIA Cloud+ | IPA ネットワークスペシャリスト試験 |
| AWS Certified Security - Specialty |
Azure Security Technologies (AZ-500) |
Professional Cloud Security Engineer | CompTIA Security+ | IPA 情報処理 安全確保支援士 (登録) |
| AWS Certified Advanced Networking - Specialty |
Azure Network Engineer (AZ-700) |
Professional Cloud Network Engineer | CompTIA CySA+ | ---- |
おススメの勉強法
上級者向け
筆者は受験に至った経緯と前提知識の通りクラウド、セキュリティ分野は初学ではなくそれぞれの分野で上位資格(AWS Certified Security - Specialty、Professional Cloud Security Engineer等)を既に取得しています。同じように本試験のレベルと同程度のスキルを既に持っている方は、最初に試験自体について要点を抑えることを推奨します。
本試験の「カバーする領域がどこまでなのか?」を理解する事が重要であり、CompTIA公式のCompTIA Advanced Security Practitioner(CASP+) 認定資格試験出題範囲(※14)を一読してみるのが良いです。とはいえ、流し見しても全く理解は進まないと思いますので、具体的な方法として以下をお勧めします。
- 末尾に付属している略語リスト、一覧についてわからないものは全部調べてみる。
- CASP+(CAS-004) 略語リスト
ECDSA、FPGA、CASB等明らかに階層が全く違う専門用語が並んでいます。 - CASP+ ハードウェアとソフトウェア一覧
略語リストほどピンポイントではないですが、ある程度対象となるようなコンテンツを確認するのに役立ちます。
- CASP+(CAS-004) 略語リスト
上記までを完了し、TAC社の問題集を利用した学習を進めれば、最低限の合格ラインには達すると思います。どうしてもこの分野だけわからないということであれば物理インフラやガバナンスだけ追加で勉強する等対策を行うのがよいです。また、本試験でも海外の法律に関連した問題が出題されることがあるため、問題集で出題されるものは最低限は押さえておきましょう。
中級者向け
中級者については特定の分野では知見がある方やクラウドやセキュリティに関わって間もない方もいらっしゃると思いますが、基本的には広範囲で知識が足りない可能性が高いです。
そのため、本試験への直接チャレンジは難しいかと思いますので、先にクラウド分野、インフラ分野、セキュリティ(ガバナンス)分野で学習を行い、それぞれ1つくらい資格を取得する流れをお勧めします。以下が筆者が考えている資格例です。
| クラウド分野 | インフラ分野 | セキュリティ (ガバナンス)分野 |
|---|---|---|
| CompTIA Cloud+ | CompTIA Network+ | CompTIA Security+ (及び CySA+) |
| AWS Certified Solutions Architect - Associate |
Cisco Certified Network Associate |
IPA 情報処理 安全確保支援士試験 |
| Azure Administrator (AZ-104) |
IPA ネットワーク スペシャリスト試験 |
---- |
上記レベルの資格をそれぞれの分野で取得していれば(ないしそれに準ずる知識があれば)本試験を受験できるレベルに達しています。先の紹介している産業向けインフラ領域や国外の法律を除き全く知らない技術が出てくることはほぼないと思います。
筆者は本試験に関する事前知識としてはスペシャリストレベル(とりわけクラウド領域)の知識は不要と考えています。出題範囲が広く習得しないといけない分野が多岐にわたるため、各領域のエントリー~中級レベルで下地となる知識を備えた上で、「上級者向け」の対策を行い、本試験に合わせるという勉強法が良いと思います。
受験所感
筆者は無事1回目で合格できましたが、事前の予想通り、出題範囲は広く、問題数はやはり多かったです。以下、受験後の所感です。
- 問題数が多いため全体の時間配分に注意する。
- 何度も読み直してもいまひとつ理解できない問題は出題される。
日本語翻訳の問題もありますが、回答者として見るべき視点が違ったのではないかと振り返って思います。 - 選択肢がかなり似ている問題も存在する。
消去法で対応するしかありませんが、問題で何を求めているかを再確認しましょう。同一の技術用語が含まれている場合でも求められている使用法が異なるケースも存在します。
総評(有用か否か?)
ここまで読んでいただいて「かなり面倒な試験なのでは?」、「取得する意味あるの?」と思われた方もいるかと思いますので、筆者なりのメリット、デメリットを紹介したいと思います。
メリット
- 表面的なセキュリティに詳しいだけでは合格できないため、IT全般の領域で知識レベルは相当高いことが証明できる。少なくとも筆者の評価は高いです。
- おススメの勉強法でも示した通り、クラウドとオンプレの両方で知見を積んでいる必要があり、とりわけハイブリッドクラウドの設計・運用ではかなり有用なセキュリティ技術者であることを証明できます。
- 情報処理安全確保支援士試験をはじめとしたIPAの試験でも本試験ほどの技術的知識を求められないため、代替できるものはない認識でいます。試験合格後に登録のプロセスが必要ということもないため、筆者のようにライトにチャレンジしてみようという受験者にとって本試験は好ましい立ち位置に見えます。
- 海外では評価される資格である。
日本国内ではIPA 情報処理安全確保支援士試験が有力ですが、それを補完する意味で持っていても損はないです。(海外の企業と仕事をする予定のかたは是非チャレンジしましょう!)
デメリット
- 受験費用
- AWS、Azure試験の上級資格の試験料よりも高額となるため、受験回数がかさむことは避けたいです。(※15)
- 対策としては1回目の試験分は支払う前提になりますが、CompTIA公式のリテイクキャンペーンや格安のバウチャーチケットを利用することで2回目の受験費用を抑える方法が考えられます。
- 必要とされる勉強量が多い。
合格レベルに達するために複数の技術領域、用語を多く理解する必要があります。おススメの勉強法で紹介した通り、本試験のみの勉強に時間を費やすのではなく、他の中級者向け資格を経由することでステップを踏み能力を底上げすることで対応しましょう。
※15 CompTIA 認定資格試験価格
最後に
読了いただきありがとうございました。筆者はCompTIAのCloudNetX(※16)やISC2のCCSP試験にも今後チャレンジ予定ですので受験後に今回の記事に加えてアップデートできればと思います。
※16 SecurityX認定資格の提供開始でCompTIA Xpert シリーズが拡充
執筆:@sakurai.ryo
レビュー:@nakamura.toshihiro
(Shodoで執筆されました)
