情報セキュリティ専門家の登竜門!? 国際資格「CISSP」のご紹介

情報セキュリティの資格は、国内外にたくさん存在しています。国内では情報システムにおける初の士業として「情報処理安全確保支援士」が 2017 年に開始されました。2021 年 10 月には、19,450 名の登録者がいらっしゃるそうです。

情報処理安全確保支援士登録者について（2021年10月1日時点） | デジタル人材の育成 | IPA 独立行政法人情報処理推進機構

情報処理推進機構（IPA）の「情報処理安全確保支援士登録者について（2021年10月1日時点）」に関する情報です。

DX など IT／デジタル化が加速する中で情報セキュリティの重要性は増していくばかりですが、日本のみならず世界的にセキュリティエンジニアが不足しているといわれています。今回は、国際的な非営利団体 (ISC)² が提供している CISSP (Certified Information Systems Security Professional) をご紹介します。2021 年 7 月、国内の認定者数は 3,164 名とのことです。少ない印象ですが、これは受験料の高さや実務経験の要求年数の長さ、維持するために必要な活動が意外と大変であることなどが要因になっているのかもしれません。

CISSP が要求しているセキュリティの考え方や知識体系は、非常に参考になると思います。CISSP 認定者となってご活躍されることももちろんですが、セキュリティに興味があるというエンジニアの方々は、公式ガイドブックに目を通してみると新しい発見や気づきがあると思います。

CISSP とは
必要な知識
CISSP 認定要件
テスト問題
参考書籍
最後に

CISSP とは

CISSPは、ベンダーフリー・カントリーフリーの情報セキュリティの専門家資格です。情報セキュリティにおける理論やメカニズムを理解するだけでなく、その知識を体系的かつ構造的に整理し、状況に応じた適切な判断を行うための、合理的かつ実践的な「知識」と「理解度」が求められます。

必要な知識

セキュリティとリスクマネジメント
資産のセキュリティ
セキュリティアーキテクチャとエンジニアリング
通信とネットワークのセキュリティ
アイデンティティとアクセスの管理
セキュリティの評価とテスト
セキュリティの運用
ソフトウェア開発セキュリティ

上記８つを「ドメイン」と呼んでいます。ここでキーとなるのは「アクセス制御」です。「情報の分類」などの方針に沿って、「脅威」、「脆弱性」、「事業影響度」などを考慮して具体的な管理策を決定します。

日本では、情報セキュリティマネジメントをキーとして専門家を育成することが多いですが、CISSP はマネジメントの仕組みを作るというより、情報セキュリティ全体をどのように具現化していくのか、どのように維持していくのかに重点を置いています。ISMS の構築をどのように行うのかだけではなく、その前段階となる設計、そして運用、管理における判断力が求められています。

また、ドメインは定期的に見直されて改訂されます。CISSP の受験をお考えの方は、いつドメインが変更されるのかを事前に把握しておきましょう。

CISSP 認定要件

CISSP の試験に合格し、必要な知識のうち 2 ドメインに関連した業務に 5 年(場合によっては 4年)以上従事していることが要求されます。業務経験が満たない場合も受験は可能で、合格すると準会員として登録し、業務経験が満たすようになったとき手続きのみで認定されます。

また、現役の資格保持者からの推薦も必要ですが、推薦者が近くにいない場合は (ISC)² が推薦者になってくれます。

登録の際には、英語で職務経歴も Web フォームから入力しますが、文字数制限があり、端的な表現で記載すると良いかと思います。

テスト問題

CISSP の問題は 4 択で出題されます。CISSP 8 ドメインガイドブックに確認テストが 40 問記載されています。

インシデントレスポンスの最も重要な目的は、次のうちのどれか？
A) 犯人の逮捕
B) 情報漏洩の阻止
C) ポリシー違反の発見
D) 被害の最小化

残念ながら答えは記載されていませんが、知識の確認などに活用してみてはいかがでしょう。
実際の問題は、守秘義務があり世の中に出回らないようになっています。全部で 250 問出題されます。
試験時間は 6 時間。とても長丁場なので途中休憩を行うことも可能です。
問題は CBT 形式です。Microsoft 社などの CBT 試験に比べると実施会場が限られています。