CISSPとは
(ISC)2 (International Information Systems Security Certification Consortium) ※アイエスシースクエアと読むが認定を行っている、民間の情報セキュリティプロフェッショナル認証資格です。
日本では最近注目されはじめた認定資格ですが、国際的に非常に権威あるセキュリティの資格です。米国のDoD(国防総省)、NSA(国家安全保障局)で取得が義務付けられている他、インターポール等においても取得を推奨されているなど、情報セキュリティの分野で高度な知見を有している証明になる事とともに、機密情報を扱うにあたってはCISSPレベルの知見は「持っていて当たり前」になりつつあると言っても過言ではないと思っています。
近年の調査でも、近年注目度が高まっている事が伺えます。(日経さんの記事より)
民間資格では、AWSに次いでCISSPが取りたいIT資格2位となっています。
上記に加えて、急増&高度化するサイバー攻撃や、2020年の日本国内イベントへ向けて情報セキュリティ人材不足と言われている現状において、「セキュリティプロフェッショナル」としての人材価値を示すCISSP取得は、非常に大きな意義があると考えています。
公式HPに詳しい説明がありますが、個人的なコメント/見解等も含めて、CISSPについてご紹介していきたいと思います。
私の受験勉強法やおおよその学習時間等、まとめた記事がありますので、ご興味あるかたはそちらもご紹介しておきます。
Contents
1.受験資格
CISSP認定には他資格同様に試験に合格する必要がありますが、その他にも受験するにあたって、いくつか条件があります。
https://japan.isc2.org/cissp_outline.html
・受験料を支払うこと(699米ドルです。私が受験する直前に599ドルから100ドル値上がりしました…)
・CISSP CBK8ドメインのうち、2つもしくはそれ以上のドメインにおいて5年以上の「プロフェッショナルとしての」業務経験があること。
(大卒者は4年間の経験で可。(1年分の経験免除))または、(ISC)2 が認める資格の取得者は、1年分の経験が免除されます。対象資格については、こちらを参照してください。
・「(ISC)2 倫理規約(Code of Ethics)」(PDFファイルの内容)に合意すること
・犯罪に関連した履歴に関する4つの質問事項に正しく答えること
受験料の支払いと下2項は特段問題ないと思いますが、あれこれ書いてある2番目の実務経験が手強そうですね。
5年もしくは4年(SSCP認定/大卒者の1年免除)の実務経験、かつCISSP CBK8ドメインのうち2つ以上の業務経験です。
CBK8ドメインを以下に記載しますが、事前にご自身の業務経歴を洗い出し、どのドメインに該当する業務経験があるのか、年単位くらいで整理しておく事をオススメします。
ここで一度整理しておけば、そのまま合格後のエンドースメント(詳しくは後述)の際にそのまま提出できますので。(ただし、提出の際は英文になりますが…)
1.セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
2.資産のセキュリティ(資産の保護)
3.セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
4.通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
5.アイデンティティとアクセスの管理(アクセス制御とID管理)
6.セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
7.セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
8.ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
補足ですが、業務経験が満たない場合も、試験を受けることは可能です。
業務経験が5年(もしくは4年)に満たない状態で合格した場合は、準会員という位置づけ(正式なCISSPではありません)になり、業務経験年数を満たした時点で(ISC)2へ申請することで、正式にCISSPとして認定を受けることができます。
2.CISSPの受験方法、合格基準
ピアソンプロフェッショナルテストセンターでのみ受験可能となっており、
日本国内では、東京、大阪、福岡の3箇所で受験できます。
最寄り or ご希望のセンターで受験申し込みしましょう。
私は東京で受験しましたが、福岡で受験&観光プランも魅力的かもですね(笑)
試験は日本語での受験が可能です。(※CBTの場合のみ)
和訳が若干怪しいので、英語(ボタンで言語切替可能)の問題、選択肢も確認する事をおすすめします。
・受験方法:Computer Based Testing(CBT)
・出題形式:250問(日本語・英語併記)、四者択一
・試験時間:6時間(※時間内で休憩を取ることが可能)
1000点中、700点以上で合格となります。
単純計算で、75問は間違えても良いくらいの感覚ですね。
実際に受験してみた感想ですが、70%って結構厳しい数字だと思いました。。
なんとか合格できましたが、完全に勉強不足でした。
しっかり知識と考え方を身につけていかないと、精神衛生上あまりよろしくないです。とても長く、そして短い(謎)6時間でした。
本試験の受験体験記はこちらにまとめておりますので、ご紹介しておきます。
なお、2017/12/18/よりCISSP英語版試験のみCAT(Computer Adaptive Testing)なるものが開始されている様です。
こちらは未経験のため、詳しい情報はわからないのですが、CBTよりも問題数が少ない様で1問あたりの比重が大きくなるため、感覚的に難易度高そうな印象です…
余談ですが、2018/9/20にNTT出版より、公式ガイドブック日本語版が発売されました!!
今後は日本語での学習ができるので、かなり効率UPですね。
3.試験合格後の手続き(エンドースメント)
この手続は、試験合格後9ヶ月以内に実施する必要があります。
試験合格後にやること。
(1)正しく記述されたエンドースメント(推薦状)を提出すること
試験合格者はプロフェッショナル経験を証明することのできる、現役の(ISC)2認定資格保持者(CISSP、SSCP、CAPなど)
からのエンドースメント(推薦状)を提出する必要があります。
私の場合、同僚にCISSP保持者がいらっしゃいましたので、エンドースメントをお願いしました。
実際の手続きはオンラインで実施する事になり、推薦者となる方の情報(IDなど)を入力し、提出します。
もし、周囲に(ISC)2認定資格保持者が不在の場合、(ISC)2が推薦者になって頂ける仕組みがあるため、合格後の案内メールに従いましょう。
(2)【※対象となった場合のみ】無作為に行われる業務経験に関する監査に合格すること
上記エンドースメントとあわせて、自身の業務経歴とドメインの関連を英文で提出(オンライン上で入力)し、(ISC)2に審査を受ける事になります。この業務経歴は無作為に監査が行われますので、嘘(とみなされる誇張も)は書かないように気をつけましょう。
記載した内容が自身が想定するドメインに関連した業務と見なされるよう、英文にも気を付けたほうが良さそうな印象でした。
ご参考までに、私のエンドースメント対応については、以下の記事「無事合格!エンドースメントの流れは?」項に書いてますのでよろしければご確認下さい。
4.CISSP認定継続/更新要件
(1)『(ISC)2 倫理規約』(PDFファイル)を遵守すること
これは読んだままですね。
(2)必要な継続教育単位(CPEクレジット)を取得し、申請すること
サイバーセキュリティを取り巻く環境も日々変化しています。
そうした状況に対応するため、新たな知識に対する継続した学習や最新の動向収集が必要である、という事で継続的に勉強しなさいよ~という事ですね…
必要な継続教育単位 = CPEクレジット(1時間の学習につき、1CPEと換算)を年間40CPE取得し、(ISC)2のマイページより申請を行う必要があります。CPEについては、別途メモをまとめたいと思います。
当然ながら、CPE申請の際も監査対象となる事がありますので、エビデンス(証跡)は残しておきましょう。
監査対象となった場合、90日以内に(ISC)2へ証跡を提出し、審査を受ける必要があります。
私は約半年程で、15件/30CPE程の登録を行いましたが、まだ監査対象となった申請はありません。
私の場合は、主にセミナー/ウェビナーの登録になりますが、証跡として主催者の名刺/配布資料/受講時のメモを残しており、要求された場合、即提出できるようにしてます。
(3)毎年の請求書の受領時に年会費を支払うこと
年会費 85米ドル(3年一括で255米ドル支払いも可、割引はありません)
バウチャーが存在する様ですが、詳細不明です。想像ですが、恐らく(ISC)2主催のイベント参加、団体への寄与等での入手になるのでしょうか。一般に入手できる代物では無さそうです。
上記3点を満たすことが出来れば、無事CISSP認定の更新となります。
年会費/CPE等の維持が中々大変ですが、プロフェッショナルとして、日々精進が大切という事ですね。
長くなりましたが、今回は以上です。
コメントを残す