ISACA クラウド監査知識証明書 (CCAK) 認定資格とは: 2023 年完全ガイド

クラウドコンピューティングは、組織におけるデータ、アプリケーション、ワークロードの利用、保存、共有の方法に間違いなく変化をもたらしています。他の優れた技術とは異なり、クラウドコンピューティングは企業に拡張性、柔軟性、コスト効率、イノベーションなど、多くのメリットをもたらします。

しかしながら、クラウドコンピューティングは、IT監査、セキュリティ、リスク管理の専門家にとって新たな課題とリスクをもたらします。

クラウドサービスの安全性、コンプライアンス、信頼性をどのように確保できるでしょうか？クラウド環境におけるステークホルダーに、どのように保証と価値を提供できるでしょうか？

ISACA クラウド監査知識認定 (CCAK) は、クラウド監査に関する初のベンダー中立的な技術認定資格です。この資格は、IT専門家がクラウドコンピューティングシステムとサービスを効果的に監査するための知識とスキルを身に付けることを目的としています。

CCAK認定は、ITガバナンス、監査、セキュリティ、リスク、クラウドコンピューティングの分野における2つの主要なグローバル組織であるISACAとCloud Security Alliance (CSA) によって開発されました。

CCAK認定とは？

CCAK認定プログラムは、クラウドコンピューティングシステムの監査の基本原則に関する理解度を検証します。以下の4つの領域をカバーしています。

• クラウドガバナンス
• クラウドコンプライアンス
• クラウドアシュアランス
• クラウド監査

CCAK認定試験は、76問の多肢選択式問題で構成され、2時間で解答する必要があります。合格点は70%です。試験時間は120分ですので、制限時間内に試験を完了する必要があります。

試験は、Webブラウザからいつでもオンラインで受験できます。受験資格はありませんが、IT監査、セキュリティ、リスク、またはクラウドコンピューティングに関する事前の経験があることが推奨されます。

CCAK認定は、CSAクラウドコントロールマトリックス（CCM）とISACA IT監査およびアシュアランスフレームワークという2つの重要なリソースに基づいています。CCMは、様々な標準規格や規制に準拠した、クラウド固有のセキュリティコントロールの包括的なフレームワークです。

IT監査およびアシュアランスフレームワークは、あらゆる環境でIT監査を実施するためのガイドラインとベストプラクティスのセットです。

クラウド監査知識認定で学べること

CCAKは、クラウドベースのシステムを監査するために必要なスキルと知識を網羅した唯一の認定資格です。クラウドセキュリティとガバナンスの主要組織であるISACAとCloud Security Alliance®（CSA）が設計しました。

この認定資格を取得することで、クラウド監査の複雑かつ動的な課題に対応できることを雇用主に示すことができます。また、データの保護、コンプライアンスの確保、コストとリスクの削減方法も習得できます。この認定資格は、習得が必要な9つの重要な機能を網羅しています。

クラウドガバナンス

• クラウドガバナンスの概念を説明する。
• クラウドの信頼性、透明性、およびアシュアランスを説明する。
• クラウドガバナンスのフレームワークと要件を特定する。
• クラウドリスク管理とクラウドコンプライアンスに関する考慮事項について説明する。
• クラウドガバナンスのツールと用途を区別する。

クラウドコンプライアンスプログラム

• クラウドコンプライアンスプログラムの基本基準を説明する。
• クラウドコンプライアンスプログラムを構築および設計する。
• 法的および規制上の要件と標準、およびセキュリティフレームワークを説明する。
• 管理策を定義し、技術的管理策とプロセス管理策を特定する。
• CSA の認証、証明、および検証を思い出す。

CCM と CAIQ：目標、目的、および構造

• CSA クラウド管理マトリックス (CCM) と CCM ドメインを特定する。
• コンセンサス評価イニシアチブ質問票 (CAIQ) について説明する。
• CCM と CAIQ の構造の概要を説明する。
• CCM と他のフレームワークの関係（マッピングとギャップ分析）を思い出す。
• CCM V3.0.1 から CCM V4 への移行における変更点を比較する。

CCM を使用したクラウド向け脅威分析方法論

• 脅威分析の基本を説明する。
• 主要脅威分析方法論を使用して、攻撃の詳細を分析する。
• 主要脅威分析方法論に基づいて、攻撃の影響を文書化する。
• CCM を使用して、クラウド向け脅威分析方法論を適用する。
• 主要脅威分析方法論のユースケースを評価する。

クラウドコンプライアンスプログラムの評価

• コンプライアンスプログラムの評価アプローチを説明する。
• ガバナンスの観点を思い出す。
• 法律、規制、および標準の観点を概説する。
• サービスの変更を定義する。
• 継続的なアシュアランスと継続的なアプライアンスの必要性を説明する。

クラウド監査

• 監査の特徴、基準、および原則を概説する。
• クラウドコンピューティングの監査基準を説明する。
• オンプレミス環境とクラウドの監査を定義する。
• クラウドサービスとクラウドデリバリーモデルの違いを思い出す。
• 監査の構築／計画と実行を説明する。

CCM：監査コントロール

• CCM監査ガイドラインを詳述する。
• CCM監査スコープガイドを定義する。
• CCMリスク評価ガイドで採用されているアプローチを説明する。
• CCM監査ワークブックを評価する。
• CCM監査ガイドを適用する。

継続的なアシュアランスとコンプライアンス

• 継続的なアシュアランスとコンプライアンスを説明する。
• DevOpsとDevSecOpsを定義する。
• DevOpsとDevSecOpsをセキュリティに適用する。
• 監査のデプロイメント/CI/CDパイプラインの概要を説明します。
• DevSecOpsの自動化と成熟度について説明します。

STARプログラム

• STARプログラムの構成要素の概要を説明します。
• STARのセキュリティとプライバシーへの影響について説明します。
• オープン認証フレームワークについて説明します。
• CSA STARのアテステーションと認証について説明します。
• STARの継続的監査について詳しく説明します。

クラウド監査知識認定（CCAK）の学習目標

• クラウド監査とクラウドコンピューティングにおけるその重要性について学習します。
• クラウドコンピューティングのリスク、システムセキュリティの評価方法、リスクを軽減するための管理策について理解します。
• データの整合性、機密性、可用性、コンプライアンス、ガバナンスなど、クラウド監査の原則、方法、アプローチについて理解します。
• クラウドコンピューティングのコンプライアンスフレームワーク、標準、規制、およびクラウド監査が果たす役割について学習します。
• クラウド監査ツールと手法の使用方法を学習します。
• クラウドサービスのメリット、コスト、リスクを特定し、報告します。
• データセキュリティ、プライバシー、コンプライアンスを確保するためのクラウド監査技術に関する専門知識を習得する。
• ベストプラクティスを用いてクラウド監査を実施する。
• 規制およびセキュリティ要件がクラウドサービスプロバイダーとユーザーに与える影響を特定する。
• クラウドコンピューティングに関連する適切なコントロールとリスクを特定し、推奨する。

CCAK認定はなぜ重要なのか？

CCAK認定は、クラウドコンピューティング監査に特有の課題と機会に対応しているため重要です。これらの課題には、次のようなものがあります。

• 組織全体におけるクラウドの利用状況とリスクの特定
• クラウドセキュリティコントロールの有効性とコンプライアンスの評価
• クラウド環境のステークホルダーへの保証と価値の提供
• 規制遵守と標準への適合の維持
• ユーザーアクセスとデータ保護の制御と監視
• クラウドサービスプロバイダーから監査権と証拠の取得
• クラウド監査に必要なスキルとツールを監査チームに提供する

CCAK認定は誰が取得すべきか？

CCAK認定は、クラウドコンピューティングシステムおよびサービスの監査に携わっている、または関心のある方に適しています。対象となるのは、以下の方々です。

• 社内および社外の評価者および監査人
• コンプライアンス・マネージャー
• サードパーティの評価者および監査人
• ベンダー/パートナー・プログラム・マネージャー
• セキュリティ・アナリストおよびアーキテクト
• 調達担当者
• クラウド・マネージャー
• クラウド・アーキテクト/セキュリティ・アーキテクト
• セキュリティ＆プライバシー・コンサルタント
• サイバーセキュリティ・リード/アーキテクト
• クラウド・コンプライアンス・エキスパート

他の認定プログラムではなく、この認定プログラムを選ぶべき理由

業界の他の認定プログラムではなく、CCAKを選ぶべき理由は、クラウド・コンピューティング技術がITシステムの運用方法を変えつつあるからです。この分野のエキスパートになるには、課題や新しい概念に常に目を向ける必要があります。

従来のプラクティスに重点を置く他のIT監査認定プログラムとは異なり、このプログラムでは、クラウドベースのシステムを効果的かつ効率的に監査する方法を学びます。クラウド・コンピューティング特有の、さまざまなセキュリティ管理、アクセスレベル、および管理目標への対処方法を学ぶことができます。

CCAK認定のメリットは何ですか？

CCAK認定資格は、キャリアと組織に多くのメリットをもたらします。例えば、次のようなメリットがあります。

• クラウド監査プロフェッショナルとしての信頼性と評判の向上
• 継続的な学習と改善への能力とコミットメントの実証
• 効果的なクラウド監査を実施するための自信と能力の向上
• クラウド環境におけるステークホルダーへの価値と保証の提供
• 最新の業界標準とベストプラクティスに基づいたスキルと知識の習得
• 市場における同業他社との差別化
• キャリアアップと収入アップの可能性の向上

最終決定

Certificate of Cloud Auditing Knowledge (CCAK) は、ISACAとCSAが提供する資格で、監査人、セキュリティ専門家、リスク管理者としてクラウド固有の概念、用語、監査ニーズ、ソリューションを扱うITプロフェッショナル向けに、ベンダーに依存しない技術トレーニングを提供しています。

CCAK試験の受験をご希望の場合は、以下のチャットオプションをクリックしてください。弊社のコンサルタントがすぐにご連絡し、ご案内いたします。

よくある質問

Q. CCAKとはどういう意味ですか？ A. CCAKはCertificate of Cloud Auditing Knowledge（クラウド監査知識認定）の略称で、クラウド監査プロフェッショナルのスキルと知識を証明する初の資格です。

Q. CCAK認定を取得するメリットは何ですか？ A. CCAK認定は、クラウドベースシステムの監査における課題に対処でき、クラウド監査のベストプラクティスと標準に精通していることを証明します。また、ベンダー中立の認定であり、あらゆるクラウドサービスプロバイダーやプラットフォームに適用されます。

Q. CCAK試験の主な出題範囲は何ですか？ A. CCAK試験では、CSA、Cloud Controls Matrix（CCM）、CAIQ、STARアセスメントの概要、クラウド監査の技術的および戦略的側面、クラウド環境における監査および保証プロセス、クラウド分野におけるガバナンスとコンプライアンスの問題など、以下のトピックが扱われます。

Q. CCAKの有効期間はどのくらいですか？ A. CCAKは認定プログラムであり、資格認定プログラムではありません。そのため、有効期限はなく、継続教育の単位も必要ありません。

Q. クラウド監査人の役割は何ですか？ A. クラウド監査人は、事前に定義された一連の基準とベストプラクティスに基づいて、クラウドサービスプロバイダーのパフォーマンスとコンプライアンスを定期的に評価する人です。クラウド監査の目的は、クラウドサービスプロバイダーが企業とその利害関係者の期待と要件を満たしていることを確認することです。