情報セキュリティに必要な知識を包括的にカバーした
セキュリティ専門家認定資格「CISSP」
国際的に最も権威ある「CISSP」の
日本語による試験がスタート
今日のIT社会において、情報セキュリティ対策は、政府および企業にとって不可欠なものである。その情報セキュリティのレベルを示す世界共通の認証資格として、セキュリティポリシーをはじめとしたマネジメントシステムを認証する「ISMS」や、セキュリティツールの運用管理に関連した「ISO15408」などがある。これらは、企業内の部門や団体を対象としたもので、わが国でも普及が進んでいる。
一方個人を対象とした認証資格に
は、「CISSP( Certified Information Systems Security Professional)」がある。CISSPは、米国のNPOである「(ISC)2(国際情報システムセキュリティ認証コンソーシアム)」が認定を行っている情報セキュリティの専門家を認証する資格である。全世界で25,000名以上(2004 年4月現在)の保持者を誇り、欧米諸国と日本以外のアジア各国では、技術的専門知識や、経営者に必要なセキュリティ知識を包括的にカバーする国際的に最も権威ある資格として認識されている。
わが国でCISSPの認識が低い理由として、これまで国内にて認定試験が年に一度しか開催されていなかったことと、試験そのものが英語で行われていたことなどがあげられる。このような状況の中、CISSPを運営している(ISC)2では、日本でのCISSPの拡大と運用に向けた本格活動に向けて、日本支社として「(ISC)2 Institute Japan」を開設し、2004 年7月から、CISSP10 ドメインレビューオフィシャルセミナーと、日本語と英語の併記による試験の提供を開始した。
権威ある資格として資格取得者のスキルアップと
企業への信用・信頼を獲得
CISSPは、サイバーセキュリティにおける資格として、米国政府のゴールドスタンダードとして認定されている資格である。米国では、各インフラ産業(電気、ガス、オイル、交通機関等)向けの業者や各企業に対して、CISSP取得者の最低人数が割り当てられている。また欧州では、英国スコットランドヤードのコンピュータ犯罪局の捜査員の半数以上がCISSPを取得しており、インターポール(国際警察機構)でも、情報テクノロジー犯罪専門局の捜査員の多くが取得している。そして日本では、NTTコミュニケーションズ(株)が認定資格の1つとして推奨し、2004年度中に100名の認定者を目指している。
CISSP 取得の目的とその効果について、NTTコミュニケーションズ(株)の大河内智秀氏は次のように語っている。
「情報セキュリティの課題は、個人情報の漏洩をはじめ、不正アクセス、ソーシャルエンジニアリング、サイバーテロなど、日増しに拡大しています。これらの課題に対応するためには、情報セキュリティの専門家を積極的に育成することが急務です。しかし、これまでの国内の情報セキュリティ教育は、製品に特化したものや個々の対策にポイントをおいたものが主流でした。総合的な知識や技術を身につける場が不足しており、セキュリティ全般の知識を身につけている人材は、一部の限られた人々でした。今回、CISSPの認定試験が日本語と英語の併記で行われるようになったことで、国内の情報セキュリティ教育が活性化し、高度なセキュリティ専門家の育成が可能になると思っています。」
CISSP の認定試験は、情報セキュリティ管理概念から物理セキュリティ、通信ネットワークセキュリティ、運用、暗号学、災害発生時の事業継続計画方法、実際に事件が起きた場合の訴訟に必要な証拠保全方法など、情報セキュリティの専門家に必要な知識が分野別に出題される。
「受験に向けて各分野の知識を事前に学習することで、個人のスキルアップが図られるとともに、その人材を雇用している企業の利益にもつながると思います。そして認定取得後は、海外をはじめ国外においても、さらなる信頼と信用を獲得することができるでしょう。CISSPは、経営陣やITの仕事に従事している方は勿論、セキュリティに興味があり、そのスキルを確実なものにしたい方にとっても必須の認定資格といえます。」(前出、大河内氏)
CISSP の認定証
●Information Security Management
(情報セキュリティ管理)
●Enterprise Security Architecture
(エンタープライズセキュリティアーキテクチャ)
●Access Control Systems & Methodology
(アクセス制御のシステムと方法論)?
●Application Security
(アプリケーションセキュリティ)?
●Operations Security
(運用セキュリティ)
●Cryptography
(暗号学)
●Telecommunications,Network&Internet Security
(通信、ネットワーク、インターネットのセキュリティ)
●Physical Security
(物理セキュリティ)
●Business Continuity Planning
(事業継続計画)
●Law, Investigations & Ethics
(法律、調査、倫理) |
表1 CISSP の出題範囲
“プロフェッショナル”を対象とした認定スキーム
◆試験概要
CISSPの認定試験は、試験時間:6時間の中で、問題数:250問(日本語併記)、形式:4択マークシートで行われる(定員50名まで)。
出題範囲は、CBK(Common Body of Knowledge:専門知識体系)に基づいた10分野である(表1参照)。
CBKとは、対等レベルの人々と質の高い議論を交わすために、情報セキュリティの専門家が十分に理解しておくべき情報セキュリティの知識分野をまとめたものである。
◆受験条件
CISSPを受験するためには、CBKの10分野のうち、少なくとも1つの情報セキュリティ分野において最低4年間の「プロフェッショナルとしての」経験が必要である(10分野関連の大卒者は3年間で受験可能)。また、この経験が事実であることの証明に合意し、「Code of Ethics(倫理規約)」の堅持を誓うこと、犯罪に関連した履歴に関する4つの質問事項に正しく答えることが必要である。
なお、最低4年間の「プロフェッショナルとしての」経験がない受験者については、「CISSP準会員」として登録され、経験4年後に正式にCISSPとして認証される。
◆認定維持
CISSPが最も権威ある資格として認識されている理由の1つとして、「認定の維持」があげられる。CISSPの認定を維持するには、認定維持料の支払いとともに、継続教育単位(CPE: Continued Professional Education credits)の取得(3年間で120単位以上)が必要である。これらを満たさなかった場合は、3年後に再受験が必要となる。
◆受験費用/試験開催日
受験費用は、本試験と5日間のオフィシャルセミナーを含めて63万円(税込)。2004年度のセミナー/試験の開催日は次のとおりである。
・7月5日〜9日/試験:11日(満員につき、締め切り)
・9月6日〜10日/試験:12日
・11月8日〜12日/試験:14日
・1月17日〜21日/試験:23日
・3月7日〜11日/試験:13日
|