【PCNSE/PSE】PaloAlto 資格取得に関する基礎知識

Palo Altoの資格について

Palo Alto Networksのベンダー資格としては、大きく次の2つの資格があります。

  1. PSE Professional
    Palo Alto認定のセキュリティエンジニア資格です。技術的な内容というよりは、営業/拡販(セールス)向けの製品知識についての内容が主です。
  2. PCNSE
    PA-シリーズの具体的な設計や仕様などを含めて、実際に環境設計/構築を行うために必要な知識を問われます。また、トラブルシューティング的な内容についてもあるため、細かな動作についても知っておく必要があります。

資格取得のための学習方法

Palo Altoの資格を取得するためには、無料で受けることができる試験や学習サイト(Palo Alto自身が提供しているラーニングセンター)があります。それらの情報について、詳細を記載していきます。

PSEについて

セールス向けのPSE(A Palo Alto Networks-accredited System Engineer)についての説明です。

PSEは、Palo Alto社の製品を再販しているパートナーベンダーなら必ず持っておきたい資格の1つです。PAシリーズの特徴や売りとしているところ、導入したときにどのようなメリットがあるのかなどの説明など、セキュリティ製品の選定を行う上でのプレ段階に必要となるスキルなどが求められます。

PSEを持っているのか否かでもPalo Alto社からの評価(パートナーランク)が異なってきたりします。そのため、ディストリビュータになっているベンダーは、多くの人が、この資格をもっています。

PSE の種類

PSEと言ってもその中でいくつかのタイプに分かれており、下図の通り区分けが若干異なります。

図1.PSEの区分け

※1. 右矢印方向に行くほど、専門性が高くなり試験内容自体も難しくなります。
※2. 上矢印方向に行くほど、取得までに要する時間が長くなる傾向になります。

図に出てきているキーワードについて説明すると、

  • Foundation Specialization
    次世代FW のPAシリーズの製品知識から、Trapsなどのエンドポイント製品に渡る全般的な内容を対象としています。
  • Platform Specialization
    次世代FW のPAシリーズに関する内容を対象としています。提案のプレ段階においてデモを行ったり、SLR(AVR)レポートを作成したりするために必要な知識などがメインです。
    また、PAシリーズのサブスクリプションである次の3つの機能については、最低でも学んでおく必要があります。

    • 脅威防御
    • URLフィルタリング
    • WildFire
  • End Point Specialization
    オンデマンドのTraps環境を使ったデモ、エクスプロイトやマルウェアなどの脅威からどのようにエンドポイントを守ることができるのかなどが対象です。
  • Public Cloud Specialization
    PAシリーズの製品を様々なクラウド環境※にデプロイするために必要な知識を対象としています。パブリッククラウドで利用する場合のベストプラクティスやデモなどを行うようになることを目標としています。
    ※AWS, Azure, Google Cloud Platform 環境などを対象としています。
  • Data Center Specialization
    データセンター環境における物理/仮想サーバを脅威から守っていくためにどのようなことがPalo Altoで実現できるのかについての知識を対象としています
    クラウドやハイブリッドクラウド環境に適用した場合の話に関しても対象としています。

◆PSE試験について

基本的に ”PSE” と呼ぶ場合、”PSE Professional” のことを指しています。

図1をみてわかる通り、試験内容としては次の順で難しいです。

“PSE Professional” >“PSE Associate” > “PSE Foundation”

◆PSE系の試験費用について

“Associate” と “Foundation” は、無料かつ個人のPCから受験できます。ただし、受験するためには、Palo Altoのラーニングサイトに登録する必要があります。

Professional を受験する場合は、Palo Altoのラーニングサイトからではなく、”Pearson Vue” から予約し、最寄りのテストセンターで受けることが可能です。

PSEの再認定ポリシー

いわゆるリテイクポリシーというものです。PSEに有効期限があります。
セキュリティ業界というのは、日々刻々と変化し続けているため、2年間で大きく状況が変わることがあります。そのことから、PSEでは有効期限が2年間と決められています。

有効期限を延長するためには、再受験し、合格する必要があります。

PCNSEについて

PCNSE(Palo Alto Networks Certified Network Security Engineer)は、Palo Altoの導入/計画、機器設計構築、運用までを全てできるようにしておく必要があります。

少なくとも機器を触ったことがない人が、この資格を取るのは難しいです。(頑張れば取れなくはないです。)

私も実際に受験しましたが、トラブルシューティング系の問題では、結構細かい動作(仕様)についても問われるため、思ったよりも難しかったです。

◆PCNSEの難易度

個人的には、PSEよりもPCNSEの方が難しく感じました。ただし、絶望的に難しいわけではなく、しっかり実機を触って勉強しておけば合格できます。

“PCNSE” >> “PSE Professional”

試験対策

実際に環境構築や運用した経験があり、一通り機器を触れるようになれば、スタート地点に立つことができます。

そのあとは、PCNSEのスタディガイドに従って、すべて問題を解けるようになれば合格できると思います。

また、PAN-OSのアップグレードに伴って、新しく追加された機能については、基本的には出ると思っておいた方が良いです。

細かい動作を確認するため、実機を持っていることが理想ですが、多くの方は専用の機器を確保することが難しいかと思います。

そのため、画面のイメージや実装可否などを判断するためにも、何かしらの手段で実際の装置画面を見られるようにしておくと良いでしょう。

幸い、Palo Alto提供のデモサイト があるので、そちらからPalo AltoのWeb 画面を確認することも手段としてあります。ただし、Palo Alto社のSEに登録してもらう必要があります。

PCNSEの再認定ポリシー

PSE と同様にPCNSEでも、有効期限が2年間と決められています。PAN-OSのメジャーアップグレードも2年スパンで実施されているので、再認定は新しいPAN-OSバージョンで試験を受けることになります。

ACEについて

Palo Altoの基礎的な製品知識の確認をするための試験です。PSEやPCNSEとは異なり、受験費用等は不要です。試験をうけるためには、下記URLからユーザ登録する必要があります。
http://education.paloaltonetworks.com/learningcenter

◆ACEの特徴

ACEでは次の特徴があります。

  • オンラインで受験可能
  • 何度でも受験可能
  • 80%以上で合格(50問中40問正解)
  • 資格の有効期限なし

◆試験内容

  • ネットワーク関連知識
  • 高可用性関連知識
  • セキュリティポリシーについて
  • GlobalProtect 機能について
  • サイト間VPNについて
  • SSL暗号化/復号化について
  • 管理とレポート
    など

合格したからと言って、自慢できるような資格というほどではありませんが、PCNSE やPSE を受験する前の腕試しとしては有効です。(IPA試験でいうITパスポートとか基本情報くらいのイメージです。)

また、ACEに関するFAQなどは、下記URLから確認可能です。
https://www.paloaltonetworks.jp/services/education/ace-faq.html

試験の言語について

試験を受けるタイミングや内容によっては、”英語” で受けなければいけない場合があります
基本的には試験公開後すぐのものは英語版しかないと思っておいた方が良いです。

対策としては、Palo Alto社のドキュメント自体がほとんど英語なので、それらを読んで慣れておくしかないです。
試験で出来そうな単語については、”Live Community” の情報を読みあされば大体わかるようになるはずなので、わからないことは ”Live Community” で調べる癖をつけておくと良いでしょう。

致命的に英語が分からないという方にはちょっと厳しいかもしれません。

Palo Alto Live Community
(Google Chrome推奨です。英語で調べた方が圧倒的に資料の量が多いです。)

まとめ

何にでも言えることだとは思いますが、実用性のある知識を獲得するためには、実践あるのみです。

他にも気になることがあれば、Live Communityなどを有効活用し、調べてもらうか直接Palo Altoに問い合わせるのが早いでしょう。

参考書籍のご紹介

この本があれば、基本的な知識はほぼ学ぶことができます。ちょっと高めですが、会社でお金出してくれるなら1冊買っておいて損はないです。

Palo Alto Networks 構築実践ガイド 次世代ファイアウォールの機能を徹底活用 [ パロアルトネットワークス合同会社 ]

価格:5,280円
(2022/3/26 00:19時点)
感想(1件)

参考サイト

以上、参考になりましたでしょうか。


いずれの情報も2018年10月時点のものですので、情報が古くなっている可能性もございます。日々記事内容更新するように努めますが、古くなってしまっていた場合は、ご容赦ください。もし記事内容で気になる記載がございましたら、ご連絡いただけると助かります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

コメント

  1. PaloAlto より:

    今は日本語でも試験が受けれるようになっていますよ!