CompTIA Advanced Security Practitioner (CASP+) 認定試験の目標 (CAS-004)

CompTIA CASP+認定試験は、セキュリティアーキテクチャとシニアセキュリティエンジニアの職務に必要な技術スキルを網羅した、高度なサイバーセキュリティ資格です。

このガイドでは、CASP+認定試験の4つの知識領域と、CAS-004試験で出題される可能性のあるサブトピックについて説明します。

CompTIA CASP+認定試験とは？

CompTIA Advanced Security Practitioner (CASP+) は、セキュリティアーキテクトおよびシニアセキュリティエンジニア向けの高度なサイバーセキュリティ認定であり、企業のサイバーセキュリティへの対応状況を評価するリスクおよびコンプライアンススキルを検証します。

CASP+認定は、米国国防総省の承認を受けており、指令8140/8570.01-Mの要件を満たし、ISO 17024規格に準拠しています。

認定CASP+プロフェッショナルとして、組織の運用戦略を含む適切なセキュリティソリューションを提案・適用し、リスクの影響を評価し、セキュリティインシデントに対応するために、技術スキルと批判的思考力を活用する必要があります。 

[CompTIA CASP+ 認定プロフェッショナル] の資格を取得するには、以下のスキルが必要です。

• 複雑な環境全体にわたってセキュアなソリューションを設計、構築、統合、実装し、レジリエンスの高い企業を支援する。
• 監視、検知、インシデント対応、自動化を活用し、企業環境における継続的なセキュリティ運用をプロアクティブにサポートする。
• 暗号化技術と手法を考慮しながら、クラウド、オンプレミス、エンドポイント、モバイルインフラストラクチャにセキュリティプラクティスを適用する。
• 企業全体におけるガバナンス、リスク、コンプライアンス要件の影響を考慮する。

CompTIA CASP+ 試験の詳細

必須試験：CAS-004 問題数：最大90問 問題形式：多肢選択式および実技試験 試験時間：165分 推奨経験：一般的なIT実務経験10年以上、そのうち少なくとも5年間はITセキュリティに関する幅広い実務経験。Network+、Security+、CySA+、Cloud+、PenTest+、または同等の認定資格/知識。 合格点：合否のみ - スケールスコアなし

CompTIA CASP+ 試験の出題範囲（ドメイン）

各ドメインの内訳と試験の割合を以下に示します。CompTIA CASP+ 試験の出題範囲は、4つの主要パートに分かれています。

1.0 セキュリティアーキテクチャ - 29% 2.0 セキュリティ運用 - 30% 3.0 セキュリティエンジニアリングと暗号化 - 26% 4.0 ガバナンス、リスク、コンプライアンス - 15%

ドメイン - 1.0 セキュリティアーキテクチャ 29%

1.1 与えられたシナリオに基づき、新規または既存のネットワークに適切かつ安全なネットワークアーキテクチャを構築するためのセキュリティ要件と目標を分析します。

• サービス • セグメンテーション • 境界除去/ゼロトラスト • 複数の組織のネットワークの統合 • ソフトウェア定義ネットワーク (SDN)

1.2 与えられたシナリオに基づき、組織の要件を分析し、適切なインフラストラクチャセキュリティ設計を決定します。

• スケーラビリティ • レジリエンシー • 自動化 • パフォーマンス • コンテナ化 • 仮想化 • コンテンツ配信ネットワーク • キャッシュ

1.3 与えられたシナリオに基づき、ソフトウェアアプリケーションをエンタープライズアーキテクチャに安全に統合する。

• ベースラインとテンプレート • ソフトウェアアシュアランス • エンタープライズアプリケーション統合の考慮事項 • 開発ライフサイクルへのセキュリティの統合

1.4 与えられたシナリオに基づき、エンタープライズアーキテクチャを保護するためのデータセキュリティ技術を実装する。

• データ損失防止 • データ損失検出 • データの分類、ラベル付け、タグ付け • 難読化 • 匿名化 • 暗号化と非暗号化 • データライフサイクル • データインベントリとマッピング • データ整合性管理 • データの保存、バックアップ、およびリカバリ

1.5. 与えられたシナリオに基づき、適切な認証および認可制御を提供するためのセキュリティ要件と目標を分析する。

• 認証情報管理 • パスワードポリシー • フェデレーション • アクセス制御 • プロトコル • 多要素認証 (MFA) • ワンタイムパスワード (OTP) • ハードウェアによる信頼のルート • シングルサインオン (SSO) • JavaScript Object Notation (JSON) ウェブトークン (JWT) • 構成証明と本人確認

1.6. 一連の要件に基づいて、安全なクラウドおよび仮想化ソリューションを実装する。

• 仮想化戦略 • プロビジョニングとデプロビジョニング • ミドルウェア • メタデータとタグ • デプロイメントモデルと考慮事項 • ホスティングモデル • サービスモデル • クラウドプロバイダーの制限事項 • 適切なオンプレミス制御の拡張 • ストレージモデル

1.7. 暗号化と公開鍵基盤 (PKI) がセキュリティ目標と要件をどのようにサポートするかを説明する。

• プライバシーと機密性の要件 • 整合性の要件 • 否認防止 • コンプライアンスとポリシーの要件 • 一般的な暗号化のユースケース • 一般的な PKI のユースケース

1.8. 新興技術が企業のセキュリティとプライバシーに与える影響を説明する。

• 人工知能 • 機械学習 • 量子コンピューティング • ブロックチェーン • 準同型暗号化 • ビッグデータ • 仮想現実/拡張現実 • 3D プリンティング • パスワードレス認証 • ナノテクノロジー • ディープラーニング • セキュアなマルチパーティコンピューティング • 分散合意 • 生体認証によるなりすまし

ドメイン - 2.0 セキュリティ運用

2.1. 与えられたシナリオに基づいて、脅威管理活動を実行する。

• インテリジェンスの種類 • アクターの種類 • 脅威アクターの特性 • フレームワーク

2.2. 与えられたシナリオに基づいて、侵害の兆候を分析し、適切な対応策を策定する。

• 侵害の兆候 • 対応

2.3. 与えられたシナリオに基づき、脆弱性管理活動を実施する。

• 脆弱性スキャン • 自己評価とサードパーティベンダーによる評価 • パッチ管理 • 情報源 • セキュリティコンテンツ自動化プロトコル (SCAP)

2.4. 与えられたシナリオに基づき、適切な脆弱性評価および侵入テストの方法とツールを使用する。

• 方法 • ツール • 依存関係管理 • 要件

2.5. 与えられたシナリオに基づき、脆弱性を分析し、リスク軽減策を提案する。

• 脆弱性 • 本質的に脆弱なシステム／アプリケーション • 攻撃

2.6. 与えられたシナリオに基づき、プロセスを用いてリスクを軽減する。

• プロアクティブおよび検出 • セキュリティデータ分析 • 予防的対応 • アプリケーション制御 • セキュリティ自動化 • 物理的セキュリティ

2.7. インシデントが発生した場合、適切な対応を実施する。

• イベントの分類 • トリアージイベント • エスカレーション前のタスク • インシデント対応プロセス • 具体的な対応プレイブック／プロセス • コミュニケーション計画 • ステークホルダー管理

2.8. フォレンジックの概念の重要性を説明する。

• 法的目的と社内目的 • フォレンジックプロセス • 整合性の維持 • 暗号解析 • ステガノアナリシス

2.9. 与えられたシナリオに基づいて、フォレンジック分析ツールを使用する。

• ファイルカービングツール • バイナリ解析ツール • 分析ツール • イメージングツール • ハッシュユーティリティ • ライブコレクションと事後分析ツール

ドメイン - 3.0 セキュリティエンジニアリングと暗号化

3.1. 与えられたシナリオに基づいて、エンタープライズモビリティに安全な構成を適用する。

• 管理対象構成 • 導入シナリオ • セキュリティに関する考慮事項

3.2. 与えられたシナリオに基づいて、エンドポイントセキュリティ制御を構成し、実装する。

• 強化技術 • プロセス • 強制アクセス制御 • 信頼できるコンピューティング • 代替制御

3.3. 特定のセクターおよび運用技術に影響を与えるセキュリティ上の考慮事項について説明します。

• 組み込み • ICS/監視制御およびデータ収集 (SCADA) • プロトコル • セクター

3.4. クラウド技術の導入が組織のセキュリティにどのような影響を与えるかについて説明します。

• 自動化とオーケストレーション • 暗号化設定 • ログ • 監視設定 • 鍵の所有権と場所 • 鍵のライフサイクル管理 • バックアップとリカバリの方法 • インフラストラクチャコンピューティングとサーバーレスコンピューティング • アプリケーション仮想化 • ソフトウェア定義ネットワーク • 構成ミス • コラボレーションツール • ストレージ構成 • クラウドアクセスセキュリティブローカー (CASB)

3.5. ビジネス要件に基づいて、適切なPKIソリューションを実装します。

• PKI階層 • 証明書の種類 • 証明書の使用法／プロファイル／テンプレート • 拡張機能 • 信頼できるプロバイダー • 信頼モデル • 相互認証 • プロファイルの構成 • ライフサイクル管理 • 公開鍵と秘密鍵 • デジタル署名 • 証明書のピン留め • 証明書のステープリング • 証明書署名要求（CSR） • オンライン証明書状態プロトコル（OCSP）と証明書失効リスト（CRL）の比較 • HTTP Strict Transport Security（HSTS）

3.6. ビジネス要件に基づいて、適切な暗号化プロトコルとアルゴリズムを実装する。

• ハッシュ • 対称アルゴリズム • 非対称アルゴリズム • プロトコル • 楕円曲線暗号 • 前方秘匿性 • 関連データを含む認証付き暗号化 • 鍵ストレッチング

3.7. シナリオに基づいて、暗号化実装に関する問題をトラブルシューティングする。

• 実装および構成に関する問題 • 重要事項

ドメイン - 4.0 ガバナンス、リスク、コンプライアンス

4.1. 一連の要件に基づいて、適切なリスク戦略を適用する。

• リスク評価 • リスク対応手法 • リスクの種類 • リスク管理ライフサイクル • リスク追跡 • リスク選好度とリスク許容度 • ポリシーとセキュリティ対策

4.2. ベンダーリスクの管理と軽減の重要性を説明する。

• 共有責任モデル（役割／責任） • ベンダーロックインとベンダーロックアウト • ベンダーの存続可能性 • 顧客要件の達成 • サポートの可用性 • 地理的な考慮事項 • サプライチェーンの可視性 • インシデント報告要件 • ソースコードエスクロー • 継続的なベンダー評価ツール • サードパーティへの依存関係 • 技術的な考慮事項

4.3. コンプライアンスフレームワークと法的考慮事項、およびそれらが組織に与える影響を説明する。

• 多様な業界の統合におけるセキュリティ上の懸念 • データに関する考慮事項 • コンプライアンスに関する第三者認証 • 規制、認定、および標準 • 法的考慮事項 • 契約および合意の種類 • 地理的考慮事項

4.4. 事業継続性と災害復旧の概念の重要性を説明する。

• 事業影響分析 • プライバシー影響評価 • 災害復旧計画 (DRP)/事業継続計画 (BCP) • インシデント対応計画 • テスト計画