執筆原稿
注目の情報セキュリティ資格、その取得と効用■第6回■ 技術と経営マネジメント知識を兼備する「CISSP」
| 掲載誌 | 有料メールマガジン「Scan Security Management(2005年度)」 |
|---|---|
| 掲載年月 | 2005年12月06日 Vol.133 |
| 執筆者 | 原田智子・井上きよみ (アイドゥ) |
セキュリティの技術的専門知識と、経営者層に必要な知識を包括的にカバーする資格が「CISSP」(Certified Information Systems Security Professional)だ。
CISSPは、米国NPOの「(ISC)2」(ISCスクエア:INTERNATIONAL INFORMATIONSYSTEMS SECURITY CERTIFICATION CONSORTIUM:国際情報システムセキュリティ・プロフェッショナル認定コンソーシアム)が認定している。
全世界のCISSP認定保持者は、2005年10月の時点で36,000名以上。日本国内では2005年10月時点で381名のセキュリティ専門家が誕生している。
CISSPを推奨している世界的企業では、マイクロソフト、国内はNTTコミュニケーションズなどがある。
>> https://www.isc2.org/japan/
| CISSP 試験概要 | |
| 出題形式など | 4択、問題数は250問(マークシート形式) |
| 試験所要時間 | 6時間 (途中退出は可能) |
| 受験料 | 68,250円 |
| 合格基準 | 1000点中700点以上 |
| 試験日程 | 1ヶ月に1回程度(Webサイト) >> https://www.isc2.org/japan/exam.html |
情報セキュリティを独自の10ドメインで体系化
CISSPでは、国際的かつ普遍的レベルで必要な情報セキュリティの知識やベストプラクティスを、共通基礎体系「CBK」(Common Body of Knowledge)としてまとめ、以下の10ドメインに分類している。
- 情報セキュリティマネージメント
- エンタープライズセキュリティアーキテクチャ
- アクセス制御のシステムと方法論
- アプリケーションセキュリティ
- 運用セキュリティ
- 暗号学
- 通信・ネットワーク・インターネットのセキュリティ
- 物理的セキュリティ
- 事業継続計画
- 法・捜査・倫理
CISSPの取得に向けて
CISSP資格の取得には、上記10ドメインを万遍なくカバーしなければならない。取得の早道は、(ISC)2公認講師と全世界共通の教材をベースに日本語化された「10ドメインレビューセミナー」の受講だ。すべてのドメインを受講する「5日間コース」と、希望のモジュールのみ受講可能な「モジュール別コース」とがある。最終日には、サンプル問題や模擬試験も実施され、出題傾向に慣れることができる。
セミナー費用は5日間コースの場合、630,000円(税込・受験費用込)。
>>https://www.isc2.org/japan/seminar.html
公式ガイドブックで勉強する方法もある。NTT出版から日本語のCISSP認定試験公式ガイドブックが2005年9月に発売された。
>>http://www.nttpub.co.jp/vbook/list/detail/0133.html
なお、CISSP認定を受けるには、試験合格のみならず、10ドメインのうち1つ以上の分野における最低4年間の「プロフェッショナルとしての」業務経験(大卒者は3年間の経験で可)等の条件が必須となる。
また、認定の更新には、継続教育単位「CPE」(Continuing Professional Education Credits)の取得が課せられる。
推奨している企業の声:中核事業を担う人材育成・拡大施策の一環として
<NTTコミュニケーションズ:ヒューマンリソース部 人事・人材開発部門人材開発担当芦田氏・田口氏>
『中核事業の一つであるセキュリティ分野を支える人材の育成・拡大施策の一環として、CISSP取得を支援している。具体的には、研修受講費や試験費用を全額会社負担としたり、資格取得の必要のある社員が確実に研修を受けられるよう、各組織で予め受講対象者を特定して育成計画を策定したりしている。さらに、CISSPも含め、重要資格の取得や維持に関する情報を社内Webサイトで提供している。
グローバルスタンダードのセキュリティ資格であるCISSP保持者の確保はセキュリティサービスの品質向上に資するのはもちろんのこと、顧客からの信頼性を高め、ブランドイメージの向上にも役立っている。
IPソリューションに関わる全ての組織で資格取得を促進しているが、特に法人顧客の担当部署で取得者が多くなっている。』
合格者の声(1):より高い倫理意識を持って業務に取り組むようになった
<NTTコミュニケーションズ:プラットフォームサービス部 プラットフォームビジネス部門セキュリティプラットフォーム担当部長佐野みゆき氏>
『受験のための勉強時間としては、5日間の(ISC)2公式CISSP10ドメインレビューセミナーへの出席に約40時間、セミナー期間中及び試験前日のテキスト及び「CISSP認定試験公式ガイドブック」を使用した予習・復習に約30時間をかけ、一度の受験で合格した。
CISSPは、最低4年間(大卒者は3年間)のセキュリティの実務経験を有することが認定条件となっているので、受験そのもののためにかける勉強時間はそれほど多くはない。すでに他のIT資格を取得していれば、その知識も大いに役に立つものと思われる。
当資格は、単に情報セキュリティの専門知識を有するだけでなく、(ISC)2が定める倫理規約を遵守することが求められるので、これまで以上に高い倫理意識を持って業務に取り組むようになった。また、資格維持のためには、継続教育単位(CPEクレジット)を取得することが必要で、自己啓発や知識提供の機会を増やすことを常に意識している。
今後は、資格維持のための取り組みを継続するとともに、実務や研修を通じて、10ドメインの個々の領域に関するさらに深い知識・スキルの修得に努めたいと考えている。』
合格者の声(2):グルーバルに専門領域を高めたい
<富士通:情報セキュリティセンター部長塩崎哲夫氏>
『海外のセキュリティベンダに当資格を取得している人が多いと感じていた。実際、セミナーを受講し、CISSPのCBK10ドメインは非常に良くまとまっており、アクセスコントロールなど、そのメカニズムの理解と整理に役立った。今でも時々テキストや「オフィシャルガイド」を開いて確認している。
情報セキュリティは最もグローバル化が進んでいる分野で、グループ企業の海外エンジニアとも、CISSP仲間として親近感を持ってコミュニケーションができるようになった。またCISSPのフォーラム(米、豪)参加による情報交換では、そのトレンドが理解でき、各国技術者との会話も楽しかった。
試験は、6時間の長丁場だが、途中で休息を取れるので、各自のペースに合わせて回答していけばよいと思う。
今秋から各ドメインごとの講座選択もでき、かつオフィシャルガイドの日本語版も出たので、より受験の機会に恵まれるのではないかと思う。』
CISSPの出題傾向を探る
以下はサンプル問題で、1ドメイン1題ずつある。(出所:(ISC)2Japan)
[問題1]ソースIPアドレスとデスティネーションIPアドレスが同一のIPパケットを侵入検知システムが検知したときのレスポンスとして妥当なものは、次のうちのどれか?
- ネットワーク上でのパケットの処理を許可し、イベントとして記録する
- パケット内の必要情報を記録し、パケット自体は削除する
- デスティネーションアドレスを解決し、パケットを処理する
- ソースアドレスを変換し、パケットを再送信する
[問題2]アプリケーション開発プロセスで、セキュリティ部門が最初に関与しなければならないのは、どの段階か?
- 実行前
- ユーザー受入れテスト前
- ユニットテスト期間中
- 要件定義を行っている間
[問題3]ソフトウェア開発プロジェクトで外部契約者を利用するとき、ソースコードのエスクロー(第3者への預託の利用)は、何に備えての防止策か?
- システムデータ損失
- ベンダーの破産
- 著作権違反
- 法的責任
[問題4]コンピュータ生成の機密情報についての印刷物を処分する適切な方法は何か?
- 印刷物を集めて清掃員に破棄させる
- 他の印刷物と一緒に、書類廃棄サービスに集めさせる
- 廃棄資格保有者が集めて破棄するまで、印刷物を安全に保管する
- リサイクル用ごみ箱に入れ、回収及び廃棄に回す
[問題5]通信リンクがモニタリングされるときに、リンク間のみの暗号化に対してエンドツーエンドの暗号化の利点は何か?
- 送信前と受信後の処理でのみ平文が使用されること
- ルーティング情報がメッセージ伝送プロトコルに含まれていること
- ルーティング情報が発信者によって暗号化されていること
- 各メッセージが固有の暗号鍵を持つこと
[問題6]公開鍵暗号方式の長所は何か?
- 鍵の配布が比較的簡単であること
- 両方の鍵が同じであること
- ハードウェアに簡単に実装できること
- 実行速度が速い
[問題7]情報セキュリティプログラムの重要な要素に含まれるものは何か?
- 災害復旧計画、事業継続計画(BCP)、及びアクセス制御要件と人事ポリ シーの定義
- 業務への影響・脅威・脆弱性の分析、情報セキュリティ意識向上プログラ ムの普及、重要拠点の物理的セキュリティ
- セキュリティポリシーの実施、役割と責務の割当て、情報資産の分類
- セキュリティへの経営陣の組織体制、メッセージ配布基準、セキュリティ 管理システムの運用手順
[問題8]災害の初期段階で緊急措置がとられる目的は、負傷や人命の損失を防ぐことと、もう1つは何をすることか?
- 損害を見極めること <
- 証拠を保護すること
- 業務の再配置をすること
- 損害を最小限に抑えること
[問題9]裁判所で使用される証拠における管理の連鎖(Chain of custody:生産・流通・加工工程の管理認証)の主要原則は、次のうちのどれか?
- 裁判官の署名を受けなければならないこと
- 起案者の署名を受けなければならないこと
- 確実に証拠が認容されるようにすること
- 証拠にアクセスした全員が証拠保全に責任を持てなければならない
[問題10]自動化された情報システムのセキュリティが最も効果的で経済的なのは、システムがどういう状態の場合か?
- セキュリティを追加する前に、システムが最適化されている場合
- 特定のセキュリティの脅威に合わせて、システムがカスタマイズされてい る場合
- ムが強度なセキュリティテストを受けている場合
- システム設計段階のはじめから、必要なセキュリティを提供している場合
| 正解は、 [問題1]B、[問題2]D、[問題3]B、[問題4]C、[問題5]A、[問題6]A、[問題7]C、[問題8]D、[問題9]D、[問題10]D、 である。 |
各問題とも、その分野の専門家であれば、比較的容易に答えを見つけることができる。しかし、CISSPの特徴は10ドメインを網羅することで、例えば、技術に長けていれば、問題1、5、6は簡単でも、それ以外では回答に窮するであろう。各分野の基本をいかにきちんとおさえておくかが、得点を重ねるポイントとなる。
EDIT
カテゴリ:
トラックバック(1)
このブログ記事を参照しているブログ一覧: 注目の情報セキュリティ資格、その取得と効用■第6回■ 技術と経営マネジメント知識を兼備する「CISSP」
このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/55
先日、メルマガの記事でお世話になったアイドゥさんのHPから。 注目の情報セキュリ 続きを読む
コメントする