ページの本文へ

Hitachi
お問い合わせお問い合わせ
株式会社 日立システムズ

CISSP CBKトレーニング

CISSP(Certified Information Systems Security Professional)
情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格

セキュリティ プロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。

※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

お知らせ

2022年度から新価格になります!

この度、多くの方にCISSP CBKトレーニングを受講していただくために、CISSP CBKトレーニングの価格がお求めやすい価格に見直しされます。ぜひこの機会にセキュリティ資格にチャレンジしてください。

【通常価格】500,000円 ⇒ 400,000円
【早期割引価格】450,000円 ⇒ 360,000円

  • ※試験価格について変更はございません
  • ※価格は税抜です

※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

概要・特長

CISSPとは

CISSPマーク

  • 国際的に最も権威あるセキュリティ プロフェッショナル認証資格。
  • 最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
  • (ISC)2 (国際情報システムセキュリティ認証コンソーシアム)NPOが実施。
  • 全世界で122,000名以上(2018年1月現在)が取得。
  • 2004年6月にISO/IEC17024の認証を取得。

組織の信頼度・向上

2018年1月現在、全世界で122,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も1,800名を超え、認知度と共に保有者数も増加しております。 CIO*1、CISO*2をはじめとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。

体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。

*1
CIO:最高情報責任者(Chief Information Officer)
*2
CISO:最高情報セキュリティ責任者(Chief Information Security Officer)

(ISC)2およびCISSPについて

(ISC)2(International Information Systems Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。 CISSP(Certified Information Systems Security Professional)は、(ISC)2が認定している資格です。

試験について

試験出題範囲 (CBK/Common Body of Knowledge※)

試験出題範囲
1. Security and Risk Management (Security, Risk, Compliance, Law,Regulations, Business Continuity)
セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
2. Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
3. Identity and Access Management (Controlling Access and Managing Identity)
アイデンティティとアクセスの管理(アクセス制御とID管理)
4. Asset Security (Protecting Security of Assets)
資産のセキュリティ(資産の保護)
5. Security Engineering (Engineering and Management of Security)
セキュリティエンジニアリング(セキュリティ設計と構築)
6. Communications and Network Security (Designing and Protecting Network Security)
通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
7. Software Development Security (Understanding, Applying, and Enforcing Software Security)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
8. Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間

  • ※CBK/Common Body of Knowledgeとは、(ISC)2 が提唱する情報セキュリティの共通言語。全世界にいるセキュリティ専門家の知識の尺度として、情報セキュリティに関する知識を分野別にまとめています。

CISSP試験受験方法

受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申し込みにおける注意点:

  • バウチャー(受験用チケット)による受験になります
  • バウチャー発行後の交換、返金、払い戻しなどは一切できかねますのであらかじめご了承ください
  • バウチャー発行後の日程変更はピアソンVUEにて直接受け付けとなります。変更手数料は50ドルです(2013年6月現在)
  • バウチャーの転売は禁止されております
  • 試験バウチャーの単品販売はしておりません
  • バウチャーには有効期限がありますので有効期限内に受験ください。有効期限は納品時にお知らせしますが最大1年間です
  • 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願いします
  • 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切できかねます

トレーニング詳細

トレーニング構成

(ISC)2では、CISSP取得を支援するために、CBK8ドメインのすべてをレビューする場として 「(ISC)2 公式 CISSP CBKトレーニング」を開催しています。

5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。

トレーニング構成
日程 内容(予定)
1日目 セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
資産のセキュリティ(資産の保護)
2日目 アイデンティティとアクセスの管理(アクセス制御とID管理)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
3日目 セキュリティエンジニアリング(セキュリティ設計と構築)
4日目 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
5日目 セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
まとめ
模擬試験解説
  • ※トレーニングは、午前9時30分から午後7時まで講義および復習、問題演習が行われます
    (途中休憩、昼食時間含む。進行状況により終了時間は異なります)
  • ※本国(ISC)2 認定日本語講師にて、質の高い講義を実施しています

ドメイン

  • 1.セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)

ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲をはじめとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。

  • 2.資産のセキュリティ(資産のセキュリティ保護)

ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有していることが求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。

  • 3.セキュリティエンジニアリング(セキュリティ設計と構築)

セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。

  • 4.通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)

ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。

  • 5.アイデンティティとアクセスの管理(アクセス制御とID管理)

ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。

  • 6.セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。

  • 7.セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)

ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。

  • 8.ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)

実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

(ISC)2 Official Trainigの優位性

  • 日本国内では唯一の(ISC)2 公式トレーニング
  • セミナーコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBKが年2回アップデートされるごとにトレーニングコンテンツにもそれを反映するべく対応している
  • 講師陣が全員CISSP保有者で、(ISC)2 の講師認定プログラムを経た(ISC)2 公認講師である
  • 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
  • 講師陣が(ISC)2公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しかも、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものになっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
  • CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効

※新型コロナウイルスの状況によって、開催形態が変更になることがございます。お申し込みをされた方には個別にご連絡いたします。


【 配付物 】※講義は日本語で行います

  1. 日本語テキスト(冊子※、ダウンロードデータ)
  2. 日本語模擬試験問題(冊子※、ダウンロードデータ)
  3. 日本語CISSP公式問題集(電子版)※終了後のアンケート回答者に配付

※トレーニング開催の数日前にテキスト(冊子)等を送付いたしますので、申し込み先住所と別の場所に配送希望の場合は、申し込み時に当社担当に配送先を別途設定する旨のご連絡をお願いいたします。

日本語CISSP公式問題集(電子版)をプレゼント!

2020年5月以降のトレーニング参加者で、終了後アンケートにご回答いただいた方全員に、日本語CISSP公式問題集(電子版)をプレゼントいたします!CISSP資格取得にぜひご活用ください。


開催スケジュール<オンサイト(会場型)>

トレーニング開催予定日
日程 1日目 2日目 3日目 4日目 5日目 早割申し込み
締切日
申し込み
締切日
2022年
オンサイトトレーニング(教室型)での開催は、新型コロナウイルスの状況が落ち着き次第検討いたします。
開催の実施が確定いたしましたら、改めてご案内いたします。

開催スケジュール<オンライン(ライブ配信)>

トレーニング開催予定日
日程 1日目 2日目 3日目 4日目 5日目 早割申し込み
締切日
申し込み
締切日
2022年
5月 23日(月) 24日(火) 25日(水) 26日(木) 27日(金) 4月5日(火) 4月25日(月)
6月 22日(水) 23日(木) 24日(金) 27日(月) 28日(火) 4月27日(水) 5月27日(金)
7月 20日(水) 21日(木) 22日(金) 25日(月) 26日(火) 6月1日(水) 6月24日(金)
9月 5日(月) 6日(火) 7日(水) 12日(月) 13日(火) 7月19日(火) 8月9日(火)
10月 17日(月) 18日(火) 19日(水) 20日(木) 21日(金) 8月30日(火) 9月20日(火)
11月 14日(月) 15日(火) 16日(水) 17日(木) 18日(金) 9月27日(火) 10月19日(水)
12月 12日(月) 13日(火) 14日(水) 19日(月) 20日(火) 10月25日(火) 11月16日(水)
2023年
1月 16日(月) 17日(火) 18日(水) 19日(木) 20日(金) 2022年
11月29日(火)
2022年
12月21日(水)
2月 15日(水) 16日(木) 17日(金) 20日(月) 21日(火) 1月4日(水) 1月20日(金)
3月 13日(月) 14日(火) 15日(水) 16日(木) 17日(金) 1月24日(火) 2月15日(水)
  • ※講師がインターネット回線を用いてオンラインで講義を配信する形態です(日本語)。通常教室での講義と同様に質疑応答も含まれます
  • ※ご自宅からでも受講可能です。関東近辺以外の方は、出張が不要です
  • トレーニングの内容はすべて録画され、180日間アクセス可能です(録画の視聴はWindowsのみとなります。iOSには対応しておりません)
  • オンライントレーニング(ライブ配信)の最少催行人数は、10名です
必要なソフトウェア
アクセス環境 Zoom
※公式サイトのダウンロードセンターより「ミーティング用Zoomクライアント」をダウンロードし、インストールをお願いします。
講義時間 9:30~19:00(開場・受付開始:9:15)
  • ※途中休憩、昼食時間含む
  • ※進行状況により終了時間は異なります

トレーニング費用

トレーニング費用
5日間トレーニング
受講費用
  • 通常価格 400,000円(税抜)
  • 早期割引 360,000円(税抜)
    ※セミナー開始日より45日(暦日)前までの申し込み完了が条件
  • 団体割引 360,000円(税抜)
    ※同月のセミナーに同一組織より3名以上の申し込みが条件
  • 注)トレーニング受講費用に試験費用は含まれておりません
試験費用
  • 91,000円(税抜)
  • 注)試験のみの受験は(ISC)2に直接お申し込みください
    当社またはトレーニング販売代理店では試験のみのお申し込みは受け付けておりません
    ご了承ください

<適用予定日 2022年4月1日>

  • ※オンサイト(会場型)、オンライン(ライブ配信)ともに同じ料金です
  • ※「早期割引」「団体割引」ともに申し込み後の変更などで、条件に満たない場合は通常価格400,000円(税抜)を適用します
  • ※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)

トレーニング会場

オンサイト(会場型):東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F

または

オンライン(ライブ配信)

詳しく知りたい方はこちら

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。