ページの本文へ

Hitachi
お問い合わせお問い合わせ
株式会社 日立システムズ

CISSP CBKトレーニング

CISSP(Certified Information Systems Security Professional)
情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格

セキュリティ プロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。

※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

お知らせ

2024年度に価格の見直しがありました。

昨今の為替変動の影響を受け、トレーニング販売価格の改定がありました。

【通常価格】450,000円
【早期割引価格】400,000円

  • ※価格は税抜です
  • ※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

概要・特長

CISSPとは

CISSPマーク

  • 国際的に最も権威あるセキュリティ プロフェッショナル認証資格。
  • 最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
  • ISC2(国際情報システムセキュリティ認証コンソーシアム)NPOが実施。
  • 全世界で152,000名以上(2022年1月現在)が取得。
  • 2004年6月にISO/IEC17024の認証を取得。

組織の信頼度・向上

2022年1月現在、全世界で152,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も3,300名を超え、認知度と共に保有者数も増加しております。CIO*1、CISO*2をはじめとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。

体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。

*1
CIO:最高情報責任者(Chief Information Officer)
*2
CISO:最高情報セキュリティ責任者(Chief Information Security Officer)

ISC2およびCISSPについて

ISC2(International Information Systems Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。 CISSP(Certified Information Systems Security Professional)は、ISC2が認定している資格です。

試験について

試験出題範囲 (CBK/Common Body of Knowledge※)

試験出題範囲
1. Security and Risk Managemt
セキュリティとリスクマネジメント
2. Asset Security
資産のセキュリティ
3. Security Architecture and Engineering
セキュリティアーキテクチャとエンジニアリング
4. Communication and Network Security
通信とネットワークセキュリティ
5. Identity and Access Managemt(IAM)
アイデンティティおよびアクセス管理
6. Security Assessment and Testing
セキュリティの評価とテスト
7. Security Operations
セキュリティの運用
8. Software Development Security
ソフトウェア開発セキュリティ

問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間

  • ※CBK/Common Body of Knowledgeとは、ISC2 が提唱する情報セキュリティの共通言語。全世界にいるセキュリティ専門家の知識の尺度として、情報セキュリティに関する知識を分野別にまとめています。

CISSP 試験ドメインの各ドメイン出題比率

ドメイン 出題比率
1. セキュリティとリスクマネジメント 15%
2. 資産のセキュリティ 10%
3. セキュリティアーキテクチャとエンジニアリング 13%
4. 通信とネットワークセキュリティ 13%
5. アイデンティティおよびアクセス管理 13%
6. セキュリティの評価とテスト 12%
7. セキュリティの運用 13%
8. ソフトウェア開発セキュリティ 11%

CISSP試験受験方法

受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申し込みにおける注意点:

  • バウチャー(受験用チケット)による受験になります
  • バウチャー発行後の交換、返金、払い戻しなどは一切できかねますのであらかじめご了承ください
  • バウチャー発行後の日程変更はピアソンVUEにて直接受け付けとなります。変更手数料は50ドルです(2021年1月現在)
  • バウチャーの転売は禁止されております
  • 試験バウチャーの単品販売はしておりません
  • バウチャーには有効期限がありますので有効期限内に受験ください。有効期限は納品時にお知らせしますが最大1年間です
  • 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願いします
  • 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切できかねます

トレーニング詳細

トレーニング構成

ISC2では、CISSP取得を支援するために、CBK8ドメインのすべてをレビューする場として 「ISC2 公式 CISSP CBKトレーニング」を開催しています。

5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。CISSPは8ドメインで構成されていますが、トレーニングは、10個のチャプターで行われます。

トレーニング構成
日程 内容(予定)
1日目 情報セキュリティ環境
情報資産のセキュリティ
2日目 アイデンティティとアクセスの管理
セキュリティアーキテクチャとエンジニアリング
3日目 通信とネットワークセキュリティ
ソフトウェア開発セキュリティ
4日目 セキュリティの評価とテスト
セキュリティの運用
5日目 全チャプターのまとめ
CISSP資格に関する情報
Applied Scenario(応用シナリオ)の解説
まとめ・確認問題及び全体に関する質疑応答
  • ※トレーニングは、午前9時30分から午後7時まで講義および復習、問題演習が行われます
    (途中休憩、昼食時間含む。進行状況により終了時間は異なります)
  • ※本国ISC2認定日本語講師にて、質の高い講義を実施しています

ドメイン

  • 1.セキュリティとリスクマネジメント

「セキュリティとリスクマネジメント」のドメインでは、情報セキュリティ専門家としての姿勢と役割に関する知識とスキルが求められます。情報セキュリティ専門家として第一に重要なことは倫理的な行動です。情報セキュリティ専門家は多くの機密情報に触れる機会も多く、その扱いについても厳正な対応を求められます。
また、専門家として意見を求められた際に、ただ不安だけを煽るような発言をするようなことがあってはいけません。情報セキュリティ専門家は組織が成し遂げようとする目的に対して協力的かつ適切な助言や対応を行うために職業倫理について理解が必要です。情報セキュリティはリスクマネジメント、リスクガバナンスの一つの分野です。将来起こりうる事故やトラブルに備え、それが発生しないように、また発生した際の被害を受容できる範囲内に収めるために、セキュリティ対策を計画し、実施します。
そして、その計画が組織の目標や目的に沿ったものであるかを判断し、適宜修正をしていくためのモニタリングや評価の基盤も構築しておかなければなりません。ガバナンスの範囲は組織内にとどまらず、サプライチェーンにも適用されるべきですし、その内容はセキュリティ、コンプライアンス、プライバシーと幅広くなっています。
それぞれを個別の課題として捉えるのではなく、包括的かつ一元的に管理するための知識とスキルが求められます。

  • 2.資産のセキュリティ

「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。デジタルトランスフォーメーションの推進による情報や資産のデジタル化に伴い、一般的な企業の機密管理だけではなく、プライバシーに配慮した情報の管理も求められるようになりました。プライバシーについてはビジネスニーズに応じて、コンプライアンス的な観点から国際的な課題を理解し、利用範囲や手段についても適切に把握しておく必要があります。
CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、ライフサイクルに従って取り扱い要件を理解しなければいけません。特に情報分類にともなうラベリングの実践や法的な要求に伴う暗号化や廃棄手法などの要件を評価し、ポリシーや管理手順を策定できる知識とスキルが求められます。

  • 3.セキュリティアーキテクチャとエンジニアリング

「セキュリティアーキテクチャとエンジニアリング」ドメインでは、セキュリティ計画に必要な原則の理解と、それを実践するための技術的な知識やスキルが求められます。
このドメインの知識範囲は広く、システムの設計・構築をもとにしたセキュリティ要件の定義、それに必要な暗号システムなどを中心としたセキュリティ技術の理解、論理的セキュリティをサポートする物理的なセキュリティについてもカバーします。このドメインを理解するために必要なことは、情報システムがどのように設計され、構築されているかのプロセスを理解することです。情報システムの形態はさまざまで、デバイス、サービス(サーバー)、ストレージ、ネットワークなどのエンティティの組み合わせによって求められる機能を提供しています。もちろんユーザや管理者など、人も関わることでさらに複雑な構造になっています。それぞれのシステムの構成を理解し、潜在的な弱さを理解することで、ベースラインとなるセキュリティ対策を計画することができるようになります。セキュリティ対策を実践するには、その原則を理解しなくてはいけません。多くのベストプラクティスは想定された環境に依存するものとなっていて、ユニバーサルであるとはいえません。環境に応じた対策を計画し、実践するためには、情報セキュリティの原則を理解する必要があります。
たとえば、最小権限(LeastPrivilege)という原則を理解することで、アクセス制御の認可において、権限の粒度を設定することができるようになります。管理者とユーザという大きな分け方ではなく、誰が何をすることができるのかという実践的なものとすることが可能になります。暗号システムはいまや情報の秘匿のためだけに使われるものではありません。鍵を持っているということが、その情報やシステムに対する権限を有するという考え方のもとに、アクセス制御や否認防止に利用することもできます。もちろんこれらの鍵の利用状況をユーザやエンティティの振る舞いとしてモニタリングに利用することもできるようになりました。暗号を適切に理解することが組織のポリシーを実現するための必須知識となっているのです。
また、論理セキュリティをサポートするものとして、物理セキュリティがあります。CISSPには、物理セキュリティの専門家と意見交換をしながら、お互いを補完するような提案ができる知識とスキルが求められます。

  • 4.通信とネットワークのセキュリティ

「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズなネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。
CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するためにさまざまな技術を利用して、セキュアな通信チャネルを設計および実装できるスキルが求められます。
また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、低減する知識やスキルについても求められます。

  • 5.アイデンティティとアクセスの管理(IAM)

「アイデンティティとアクセスの管理(IAM)」ドメインでは、機密性を維持するために必要な、人、デバイス、サービス、アプリケーション、データなどのエンティティの相関を理解し、それを適切に管理するための知識とスキルが求められます。アイデンティティ(Id)は単にユーザアカウントのことを指すのではなく、組織の資産全てを適切に判別し管理を行うために必要な、個別の識別子とその属性です。これらの情報を活用して、組織の求める安全な状態の維持を実践することが可能になります。アクセス管理において最も重要なことは、機密性の理解です。機密性(Confidentiality)とは、情報の機微性(Sensitivity)や重要性(Importance)ではなく、権限の維持ができていることを指します。
つまり、誰かが何かにアクセスできる状態を適切に維持するということです。誰か(Subject)がなにか(Object)に対して、どのような権限が与えられているか。これを最小権限の原則に基づいて設計したり、職務の分離の原則に基づいて設計したりすることが、アクセス管理です。アクセスポリシーをどのように構築するか。リスクやアクセス時の属性に応じて動的にポリシーを構築し適用する仕組みがゼロトラストです。このドメインのキーワードである「強制アクセス制御」および「属性ベースのアクセス制御」における認可の仕組みを理解すれば、ゼロトラストも構築できるようになります。「アイデンティティとアクセスの管理(IAM)」の知識とスキルを身につけることで、さまざまなセキュリティソリューションの仕組みを容易に理解できるようになります。

  • 6.セキュリティの評価とテスト

「セキュリティの評価とテスト」のドメインでは、セキュリティの運用やソフトウェア開発のセキュリティと関連して、日々のセキュリティ活動におけるセキュリティ対策の評価や、ソフトウェアが適切に開発されているかを確認するためのテストなど、セキュリティ機能の有効性を測るための知識とスキルが求められます。評価やテストは十分に準備してから行われなければなりません。それは正しい評価を行うためでもあり、サービスやシステムへの影響を最小限にする必要があるためです。ソフトウェアのテストなどはテスト環境で実施できますが、日常的なセキュリティ対策の評価やテストは本番環境で行うことも少なくないためです。
CISSPはさまざまな種類のテストについて、その目的と手法を理解し、対象に合わせた適切なものを選択しなければなりません。例えば、侵入対策が適切にできているかを評価する場合にはペネトレーションテストを、対策したはずの脆弱性が見逃されていないかどうかを評価するためには脆弱性テストを選択します。評価したい内容によってはこれらを組み合わせて利用することもありますし、攻撃者がそのテスト手法を利用する可能性がないかなども検証したりします。また評価の結果を活かした改善プロセスを通じて、事業継続やレジリエンス、セキュリティ対策の継続的向上などにも役立てることができます。セキュリティの評価とテストは単独のドメインとして取り上げられていますが、他のドメインの知識やスキルをサポートするものとして重要な要素が含まれています。CISSPは評価やテストの知識やスキルを情報セキュリティのライフサイクルに活かすことが求められています。

  • 7.セキュリティの運用

「セキュリティの運用」ドメインでは、組織の情報セキュリティの機能や計画を維持し、適切に改善していくための知識とスキルが求められます。機能や計画が維持できているかを判断するためには、セキュリティ対策やポリシーの遵守状況などに関する情報収集が必要になります。
また、インシデント対応や調査活動もセキュリティ運用の重要な要素です。情報収集を適切に行うためには、事前の準備が必要になります。例えばセキュリティ対策を目的通りに実施しているということを確認、または証明するためにはエビデンスが必要になります。このエビデンスは後から作ることができませんので、ログ管理、モニタリング機能を設計する際に十分に検討しなくてはいけません。準備できていなかった場合には、フォレンジックスなどの技術を活用してエビデンスを掘り起こす必要があります。このような作業には非常に大きなコストと時間がかかることから、日常的な運用に必要な情報はいつでも取得できるように準備しておきます。モニタリングの結果、トラブルや事故の予兆があった場合には、その対応が必要になります。明確な事故が発生していない場合は資産の保護を改めて実施し、インシデントの発生が見られた場合には、インシデント対応を実施します。CISSPには、このような日々の運用に必要な活動を十分に理解することが求められます。セキュリティの運用に関するさまざまな知識は、運用担当者だけではなく、開発担当者にも必要になります。DevSecOps環境においては、運用担当者がどのような情報を必要としているか、そして運用上の修正作業を開発者が直接関与することなく運用担当者だけで行うためにはどのような機能の提供が必要かなどを検討する必要があるためです。たとえば、クラウド上でのサービス運用においてサーバーのパフォーマンスが足りない場合にサーバーの台数を増やすといったことが必要になります。
これらの作業を運用担当者が評価し、開発担当者に伝え、確認の上で開発担当者が構成をし直すといった場合、適切な時間で作業が終了しないことがあります。このような場合には運用担当者用のインタフェースをあらかじめ作成し、自ら修正ができるようにしておくのが望ましいと言えます。このような判断をするためにも、セキュリティの運用とソフトウェア開発、アクセス制御、リスクマネジメントのそれぞれのドメインの関連についてCISSPは熟知しておく必要があります。運用セキュリティにおいては、セキュリティ担当者の日常的な活動を把握し、それをサポートするためのインフラの構築について理解しなくてはいけません。CISSPには、セキュリティ担当者が効率的に日常的な活動を実践し、継続的なセキュリティ対策の維持ができる環境を計画、提案することが求められます。

  • 8.ソフトウェア開発セキュリティ

「ソフトウェア開発セキュリティ」ドメインでは、コーディングだけではなく、ソフトウェアの開発における環境や手法を含めた、開発ライフサイクル全般についてのセキュリティに関する知識とスキルが求められます。SDNやIoTなど、これまではハードウェアのセキュリティとして捉えられていた分野も、ソフトウェア化されることにより、ますますソフトウェアに関するセキュリティへの依存度が高まっているなか、CISSPもソフトウェア開発について十分な知識が求められるようになりました。システムライフサイクル(SLC)におけるソフトウェア開発ライフサイクル(SDLC)について正しく理解し、開発者のプロセスや責任を明確にした上で、セキュリティ専門家が助言できる内容について把握します。開発と運用、そして品質管理を統合的に管理するためのDevSecOpsを実践するために、運用を考慮した開発についても支援します。
また、開発手法や開発環境の選択においても、複数の手法や環境の目的を正しく理解した上で、メリット・デメリットを判断し、プロジェクトに応じて選択できるようにセキュリティの視点から助言をします。単に開発を迅速に行うだけではなく、サービスのデプロイ時間を考慮して、効率的なテスト手法の選択、サービスレジリエンスを実現するための仕組みなどを提案します。ソフトウェア開発においては、実際にコーディングするスキルが必要なわけではなく、開発チームの役割や責任、システムライフサイクルにおける活動を適切に理解し、機密性、完全性が維持できるような助言を実施できるスキルと知識が求められます。

ISC2 Official Trainigの優位性

  • 日本国内では唯一のISC2 公式トレーニング
  • セミナーコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBKが年2回アップデートされるごとにトレーニングコンテンツにもそれを反映するべく対応している
  • 講師陣が全員CISSP保有者で、ISC2 の講師認定プログラムを経たISC2 公認講師である
  • 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
  • 講師陣がISC2公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しかも、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものになっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
  • CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効

※新型コロナウイルスの状況によって、開催形態が変更になることがございます。お申し込みをされた方には個別にご連絡いたします。


【 配付物 】※講義は日本語で行います

  1. 日本語テキスト(冊子※、電子版)
  2. 英語テキスト(電子版)
  3. 日本語確認問題(冊子※、電子版)
  4. 英語確認問題(電子版)
  5. 日本語CISSP公式問題集(電子版)【終了後のアンケート回答者に配布】

※トレーニング開催の数日前にテキスト(冊子)等を送付いたしますので、申し込み先住所と別の場所に配送希望の場合は、申し込み時に当社担当に配送先を別途設定する旨のご連絡をお願いいたします。

日本語CISSP公式問題集(電子版)をプレゼント!

2020年5月以降のトレーニング参加者で、終了後アンケートにご回答いただいた方全員に、日本語CISSP公式問題集(電子版)をプレゼントいたします!CISSP資格取得にぜひご活用ください。


開催スケジュール<オンサイト(会場型)>

トレーニング開催予定日
日程 1日目 2日目 3日目 4日目 5日目 早割申し込み
締切日
申し込み
締切日
2022年
オンサイトトレーニング(教室型)での開催は、新型コロナウイルスの状況が落ち着き次第検討いたします。
開催の実施が確定いたしましたら、改めてご案内いたします。

開催スケジュール<オンライン(ライブ配信)>

トレーニング開催予定日
日程 1日目 2日目 3日目 4日目 5日目 早割申し込み
締切日
申し込み
締切日
2024年
6月 24日(月) 25日(火) 26日(水) 27日(木) 28日(金) - 5月29日(水)
7月 22日(月) 23日(火) 24日(水) 25日(木) 26日(金) 6月4日(火) 6月26日(水)
9月 2日(月) 3日(火) 4日(水) 5日(木) 6日(金) 7月12日(金) 8月7日(水)
10月 7日(月) 8日(火) 9日(水) 10日(木) 11日(金) 8月20日(火) 9月11日(水)
11月 11日(月) 12日(火) 13日(水) 18日(月) 19日(火) 9月24日(火) 10月16日(水)
12月 11日(水) 12日(木) 13日(金) 16日(月) 17日(火) 10月23日(水) 11月15日(金)
2025年
1月 27日(月) 28日(火) 29日(水) 30日(木) 31日(金) 12月10日(火) 12月24日(火)
2月 12日(水) 13日(木) 14日(金) 17日(月) 18日(火) 12月24日(火) 1月17日(金)
3月 10日(月) 11日(火) 12日(水) 13日(木) 14日(金) 1月21日(火) 2月12日(水)
  • ※講師がインターネット回線を用いてオンラインで講義を配信する形態です(日本語)。通常教室での講義と同様に質疑応答も含まれます
  • ※ご自宅からでも受講可能です。関東近辺以外の方は、出張が不要です
  • トレーニングの内容はすべて録画され、180日間アクセス可能です(録画の視聴はWindowsのみとなります。iOSには対応しておりません)
  • オンライントレーニング(ライブ配信)の最少催行人数は、20名です
必要なソフトウェア
アクセス環境 Zoom
※公式サイトのダウンロードセンターより「ミーティング用Zoomクライアント」をダウンロードし、インストールをお願いします。
講義時間 9:30~19:00(開場・受付開始:9:15)
  • ※途中休憩、昼食時間含む
  • ※進行状況により終了時間は異なります

トレーニング費用

トレーニング費用
5日間トレーニング
受講費用
  • 通常価格 450,000円(税抜)
  • 早期割引 400,000円(税抜)
    ※セミナー開始日より45日(暦日)前までの申し込み完了が条件
  • 団体割引 400,000円(税抜)
    ※同月のセミナーに同一組織より3名以上の申し込みが条件
  • 注)トレーニング受講費用に試験費用は含まれておりません
    <適用予定日 2024年4月1日>
試験費用
  • 130,000円(税別)
  • 注)試験のみの受験はISC2に直接お申し込みください
    当社またはトレーニング販売代理店では試験のみのお申し込みは受け付けておりません
    ご了承ください
  • ※オンサイト(会場型)、オンライン(ライブ配信)ともに同じ料金です
  • ※「早期割引」「団体割引」ともに申し込み後の変更などで、条件に満たない場合は通常価格450,000円(税抜)を適用します
  • ※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

トレーニング会場

オンサイト(会場型):東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F

または

オンライン(ライブ配信)

詳しく知りたい方はこちら

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。