| CISSP(公認情報システム監査人) |
| 資格名 | CISSP ※Certified Information Systems Security Professionalの略 |
| 資格の種類 | 国際資格 ・米国の非営利団体 The International Information Systems Security Certification Consortium、「アイエスシースクエア」(ISC)2が運営、認定する資格。 |
| 資格の概要 | IT技術者のキャリアアップの手段として注目が高まっている、米国のセキュリティプロフェッショナル認定制度。戦略的かつ公平な判断のできるベンダーフリーの認定資格で、セキュリティ専門家としてのスキルの裏付けを提供します。情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、現在、世界で69,000名以上が認定資格を保持している。国際的に認定された資格です。 CISSP認定資格は資格継続のために、情報セキュリティ関連のトレーニングコースに参加するなどして、3年間ごとに120ポイント以上のCPEクレジット(継続教育単位)を取得しなければなりません。この制度があることで、取得者は常に新しい知識やスキルを身に付けることになります。そして、だからこそユーザー自身のスキルアップに有効な資格と目され、また世界中の企業が評価する資格となりつつあります。 |
| 試験方式 | 4択マークシート/試験時間 6時間 問題数 250問(日本語・英語併記) 合格 70%以上の正解率 |
| 受験資格 | ●受験要件 ・「プロフェッショナルとしての」業務経験 ※CBK10ドメインのうち、2つ以上の分野において5年以上の業務経験が必要。なお、大卒者や一定の資格の取得者は、1年分の経験が免除されます。 ・「倫理規約(Code of Ethics)」への合意 ・犯罪の履歴がないこと ●CISSP認定要件 ・認定試験において1,000点中700点以上のスコアで認定試験に合格していること ・正しく記述されたエンドースメント(推薦状)を提出すること ・無作為に行われる業務経験に関する監査に合格すること |
| 試験科目 | ●出題範囲 CBK(Common Body of Knowledge)10ドメインと、出題内容。 1.情報セキュリティとリスクマネジメント ・情報セキュリティポリシーや関連するルールの策定、実施方法、リスク管理の手法等が問われる。 2.セキュリティアーキテクチャと設計 ・企業組織におけるネットワークインフラストラクチャの設計や監視、セキュリティを確保するための概念、原則、構造、規格・標準について、また、国際的なセキュリティ標準や規格の種類、内容などが出題される。 3.アクセス制御 ・アクセス制御の原則・基本概念や、脅威の特定、アクセス制御の種類および分類、アクセス制御技術とモデル、監視システム、監査方法など 4.アプリケーションセキュリティ ・ ソフトウェアアプリケーションにおける重要なセキュリティ概念や、アプリケーションレベルの脅威など 5.運用セキュリティ ・ネットワークや記憶装置、ハードウェアや記録媒体にある情報資産を保護するために、これらのリソースにアクセス権を持つオペレーターや管理者などを管理する方法について、その他、運用上の違反行為の特定、検出方法 6.暗号学 ・暗号技術の歴史から、さまざまな暗号方式・アルゴリズムの原則・特徴、公開鍵・共通鍵のアルゴリズム、PKI、システム上の暗号化アーキテクチャ、暗号への脅威などが詳細に出題される。 7.通信とネットワークのセキュリティ ・ ネットワーク構造や伝送(トランスミッション)方式、伝送(トランスポート)形式や、通信の認証技術、ネットワーク上の脅威およびその防護策など 8.物理(環境)セキュリティ ・外部周辺エリアから内部のデータセンターやサーバルームなどの情報資産や、施設全体に対する物理的な保護技術について問われる 9.事業継続と災害復旧の計画 ・ 正常な事業運営機能が停止した場合の業務の維持と復旧方法。非常時でも重要なプロセスを止めずに業務を遂行するためには事前にどう計画するかなど。 10.法、規則、コンプライアンス、捜査 ・コンピュータ犯罪に適用される法律と法的問題、コンピュータ犯罪の調査に使用される法科学犯罪捜査(フォレンジック)の手法や考え方などが出題される |
| スケジュール | 年間10回程度開催 第3,又は第4日曜日 ※年間スケジュールで公開される。 |
| 試験会場 | 東京 |
| 受験料 | 68,250円(消費税込) |
| 難易度 | 難易度 「A」難関 合格率 非公開(60〜70%くらい?) |
| 試験のポイント・一口ガイド | 米国の(ISC)2が認定する権威のある資格で、日本では「公認情報システム監査人」と呼ばれます。1995年にアメリカでスタートした認定資格で、現在は世界133カ国で6万9000人以上、日本では1000人以上が取得するまでになっている。国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザー
に重視されている。 そして、業種に関係なく、情報セキュリティにかかわる人材(コンサルタント、管理職、技術職、監査員など)が最低限持つべき基本資格としても評価されている。 米国においては政府のゴールドスタンダードとして認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、英国では、CISSP有資格者は、政府の情報セキュリティ要員のためのトレーニングプログラムに自動認定されます。他には、スコットランドヤード(ロンドン警視庁)やインターポール(国際警察機構)でもCISSP取得が進められています。 この資格の特徴は、情報リスク管理に試験範囲を特化していることです。ITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出題されていますが、出題される問題は、知識があれば解けるというものではなく、特定の状況下で最適な判断を問うものが中心です。たとえば、「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」をなど総合的に考えることを課すような問題です。 資格の取得には、定められたCBK10ドメインのすべてをカバーする知識と見識が必要となります。また、合格ラインの700点以上(1000点満点中)は、試験レベルとしてはかなり高いと言えます。 ネットワークエンジニアやサー バエンジニアのようにセキュリティ技術に携わるITエンジニアにとっては、次のステップとして狙いやすい資格だと思います。 勉強の方法は、セミナーを受けて受験する方法と独学で資格取得する方法がありますが、セミナーはかなり費用がかかりますので、自己投資するかどうかは十分検討する必要があります。合格率から見た数字では、セミナー受講生の合格率は 2/3 程度、独学の方の合格率は 1/2 程度ということです。 いづれにしても、試験の出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」(100問/7000円)で自分の実力を試すことがいいでしょう。このアセスメントの結果を分析することで、自分の強みや弱みを確認できますし、その上で、セミナーの受講を受けるかどうかを決めてもいいと思います。 問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習する方j法は、どの試験でも同じだと思いますが、試験時間が6時間で 250問の4択マークシートを解答するのはさすがにきついものがあります。 試験に英和辞典を持ち込むことはできますが、辞書を引かなければ分からないようでは無理だと思った方がよいだろう。また、少なくてもある程度得意分野がないと合格は難しいかと思います。 ※CISSP認定資格はグローバルな資格ですが、それゆえに日本の情報セキュリティ事情に100%最適化しているとは言えない部分があります。そこで、日本特有の社会背景やICT(Information and Communication Technology )環境などを考慮した「CISSP-行政情報セキュリティ」認定資格が設けられています。 CISSP認定保持者でなければCISSP-行政情報セキュリティ認定試験を受験することはできませんが、ガイドブックやセミナーは、日本の情報セキュリティ要件に精通する手段として、CISSP認定保持者でない人にも活用できます。 この試験により、行政機関で情報セキュリティに関わる人材の教育、首都圏―地方間の情報セキュリティ意識の格差是正、情報セキュリティ人材の底上げと育成に役立てられています。 |
| 通信講座 | ・eラーニング アビタスの「CISA公認情報システム監査人《DVD》コース」 |
| 通学スクール | ・アビタスの「システム監査のプロ・公認情報システム監査人《通学》コース」 |
| 教材 | ・公式 セミナー ・CISSP公式ガイドブック他、試験対策教材 |
| 問い合わせ先 | (ISC)2 CISSP 公式サイト |