CISSP(Certified Information Systems Security Professional)
情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格
セキュリティ プロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。
※法人のお客さまのみお申し込み可能です(個人のお申し込みはお受けできかねます)
昨今の為替変動の影響を受け、トレーニング販売価格の改定がありました。
【通常価格】450,000円
【早期割引価格】400,000円
2022年1月現在、全世界で152,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も3,300名を超え、認知度と共に保有者数も増加しております。CIO*1、CISO*2をはじめとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。
体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。
ISC2およびCISSPについて
ISC2(International Information Systems Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。 CISSP(Certified Information Systems Security Professional)は、ISC2が認定している資格です。
| 1. Security and Risk Managemt |
| セキュリティとリスクマネジメント |
| 2. Asset Security |
| 資産のセキュリティ |
| 3. Security Architecture and Engineering |
| セキュリティアーキテクチャとエンジニアリング |
| 4. Communication and Network Security |
| 通信とネットワークセキュリティ |
| 5. Identity and Access Managemt(IAM) |
| アイデンティティおよびアクセス管理 |
| 6. Security Assessment and Testing |
| セキュリティの評価とテスト |
| 7. Security Operations |
| セキュリティの運用 |
| 8. Software Development Security |
| ソフトウェア開発セキュリティ |
問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間
| ドメイン | 出題比率 |
|---|---|
| 1. セキュリティとリスクマネジメント | 15% |
| 2. 資産のセキュリティ | 10% |
| 3. セキュリティアーキテクチャとエンジニアリング | 13% |
| 4. 通信とネットワークセキュリティ | 13% |
| 5. アイデンティティおよびアクセス管理 | 13% |
| 6. セキュリティの評価とテスト | 12% |
| 7. セキュリティの運用 | 13% |
| 8. ソフトウェア開発セキュリティ | 11% |
受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申し込みにおける注意点:
ISC2では、CISSP取得を支援するために、CBK8ドメインのすべてをレビューする場として 「ISC2 公式 CISSP CBKトレーニング」を開催しています。
5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。CISSPは8ドメインで構成されていますが、トレーニングは、10個のチャプターで行われます。
| 日程 | 内容(予定) |
|---|---|
| 1日目 | 情報セキュリティ環境 情報資産のセキュリティ |
| 2日目 | アイデンティティとアクセスの管理 セキュリティアーキテクチャとエンジニアリング |
| 3日目 | 通信とネットワークセキュリティ ソフトウェア開発セキュリティ |
| 4日目 | セキュリティの評価とテスト セキュリティの運用 |
| 5日目 | 全チャプターのまとめ CISSP資格に関する情報 Applied Scenario(応用シナリオ)の解説 まとめ・確認問題及び全体に関する質疑応答 |
「セキュリティとリスクマネジメント」のドメインでは、情報セキュリティ専門家としての姿勢と役割に関する知識とスキルが求められます。情報セキュリティ専門家として第一に重要なことは倫理的な行動です。情報セキュリティ専門家は多くの機密情報に触れる機会も多く、その扱いについても厳正な対応を求められます。
また、専門家として意見を求められた際に、ただ不安だけを煽るような発言をするようなことがあってはいけません。情報セキュリティ専門家は組織が成し遂げようとする目的に対して協力的かつ適切な助言や対応を行うために職業倫理について理解が必要です。情報セキュリティはリスクマネジメント、リスクガバナンスの一つの分野です。将来起こりうる事故やトラブルに備え、それが発生しないように、また発生した際の被害を受容できる範囲内に収めるために、セキュリティ対策を計画し、実施します。
そして、その計画が組織の目標や目的に沿ったものであるかを判断し、適宜修正をしていくためのモニタリングや評価の基盤も構築しておかなければなりません。ガバナンスの範囲は組織内にとどまらず、サプライチェーンにも適用されるべきですし、その内容はセキュリティ、コンプライアンス、プライバシーと幅広くなっています。
それぞれを個別の課題として捉えるのではなく、包括的かつ一元的に管理するための知識とスキルが求められます。
「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。デジタルトランスフォーメーションの推進による情報や資産のデジタル化に伴い、一般的な企業の機密管理だけではなく、プライバシーに配慮した情報の管理も求められるようになりました。プライバシーについてはビジネスニーズに応じて、コンプライアンス的な観点から国際的な課題を理解し、利用範囲や手段についても適切に把握しておく必要があります。
CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、ライフサイクルに従って取り扱い要件を理解しなければいけません。特に情報分類にともなうラベリングの実践や法的な要求に伴う暗号化や廃棄手法などの要件を評価し、ポリシーや管理手順を策定できる知識とスキルが求められます。
「セキュリティアーキテクチャとエンジニアリング」ドメインでは、セキュリティ計画に必要な原則の理解と、それを実践するための技術的な知識やスキルが求められます。
このドメインの知識範囲は広く、システムの設計・構築をもとにしたセキュリティ要件の定義、それに必要な暗号システムなどを中心としたセキュリティ技術の理解、論理的セキュリティをサポートする物理的なセキュリティについてもカバーします。このドメインを理解するために必要なことは、情報システムがどのように設計され、構築されているかのプロセスを理解することです。情報システムの形態はさまざまで、デバイス、サービス(サーバー)、ストレージ、ネットワークなどのエンティティの組み合わせによって求められる機能を提供しています。もちろんユーザや管理者など、人も関わることでさらに複雑な構造になっています。それぞれのシステムの構成を理解し、潜在的な弱さを理解することで、ベースラインとなるセキュリティ対策を計画することができるようになります。セキュリティ対策を実践するには、その原則を理解しなくてはいけません。多くのベストプラクティスは想定された環境に依存するものとなっていて、ユニバーサルであるとはいえません。環境に応じた対策を計画し、実践するためには、情報セキュリティの原則を理解する必要があります。
たとえば、最小権限(LeastPrivilege)という原則を理解することで、アクセス制御の認可において、権限の粒度を設定することができるようになります。管理者とユーザという大きな分け方ではなく、誰が何をすることができるのかという実践的なものとすることが可能になります。暗号システムはいまや情報の秘匿のためだけに使われるものではありません。鍵を持っているということが、その情報やシステムに対する権限を有するという考え方のもとに、アクセス制御や否認防止に利用することもできます。もちろんこれらの鍵の利用状況をユーザやエンティティの振る舞いとしてモニタリングに利用することもできるようになりました。暗号を適切に理解することが組織のポリシーを実現するための必須知識となっているのです。
また、論理セキュリティをサポートするものとして、物理セキュリティがあります。CISSPには、物理セキュリティの専門家と意見交換をしながら、お互いを補完するような提案ができる知識とスキルが求められます。
「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズなネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。
CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するためにさまざまな技術を利用して、セキュアな通信チャネルを設計および実装できるスキルが求められます。
また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、低減する知識やスキルについても求められます。
「アイデンティティとアクセスの管理(IAM)」ドメインでは、機密性を維持するために必要な、人、デバイス、サービス、アプリケーション、データなどのエンティティの相関を理解し、それを適切に管理するための知識とスキルが求められます。アイデンティティ(Id)は単にユーザアカウントのことを指すのではなく、組織の資産全てを適切に判別し管理を行うために必要な、個別の識別子とその属性です。これらの情報を活用して、組織の求める安全な状態の維持を実践することが可能になります。アクセス管理において最も重要なことは、機密性の理解です。機密性(Confidentiality)とは、情報の機微性(Sensitivity)や重要性(Importance)ではなく、権限の維持ができていることを指します。
つまり、誰かが何かにアクセスできる状態を適切に維持するということです。誰か(Subject)がなにか(Object)に対して、どのような権限が与えられているか。これを最小権限の原則に基づいて設計したり、職務の分離の原則に基づいて設計したりすることが、アクセス管理です。アクセスポリシーをどのように構築するか。リスクやアクセス時の属性に応じて動的にポリシーを構築し適用する仕組みがゼロトラストです。このドメインのキーワードである「強制アクセス制御」および「属性ベースのアクセス制御」における認可の仕組みを理解すれば、ゼロトラストも構築できるようになります。「アイデンティティとアクセスの管理(IAM)」の知識とスキルを身につけることで、さまざまなセキュリティソリューションの仕組みを容易に理解できるようになります。
「セキュリティの評価とテスト」のドメインでは、セキュリティの運用やソフトウェア開発のセキュリティと関連して、日々のセキュリティ活動におけるセキュリティ対策の評価や、ソフトウェアが適切に開発されているかを確認するためのテストなど、セキュリティ機能の有効性を測るための知識とスキルが求められます。評価やテストは十分に準備してから行われなければなりません。それは正しい評価を行うためでもあり、サービスやシステムへの影響を最小限にする必要があるためです。ソフトウェアのテストなどはテスト環境で実施できますが、日常的なセキュリティ対策の評価やテストは本番環境で行うことも少なくないためです。
CISSPはさまざまな種類のテストについて、その目的と手法を理解し、対象に合わせた適切なものを選択しなければなりません。例えば、侵入対策が適切にできているかを評価する場合にはペネトレーションテストを、対策したはずの脆弱性が見逃されていないかどうかを評価するためには脆弱性テストを選択します。評価したい内容によってはこれらを組み合わせて利用することもありますし、攻撃者がそのテスト手法を利用する可能性がないかなども検証したりします。また評価の結果を活かした改善プロセスを通じて、事業継続やレジリエンス、セキュリティ対策の継続的向上などにも役立てることができます。セキュリティの評価とテストは単独のドメインとして取り上げられていますが、他のドメインの知識やスキルをサポートするものとして重要な要素が含まれています。CISSPは評価やテストの知識やスキルを情報セキュリティのライフサイクルに活かすことが求められています。
「セキュリティの運用」ドメインでは、組織の情報セキュリティの機能や計画を維持し、適切に改善していくための知識とスキルが求められます。機能や計画が維持できているかを判断するためには、セキュリティ対策やポリシーの遵守状況などに関する情報収集が必要になります。
また、インシデント対応や調査活動もセキュリティ運用の重要な要素です。情報収集を適切に行うためには、事前の準備が必要になります。例えばセキュリティ対策を目的通りに実施しているということを確認、または証明するためにはエビデンスが必要になります。このエビデンスは後から作ることができませんので、ログ管理、モニタリング機能を設計する際に十分に検討しなくてはいけません。準備できていなかった場合には、フォレンジックスなどの技術を活用してエビデンスを掘り起こす必要があります。このような作業には非常に大きなコストと時間がかかることから、日常的な運用に必要な情報はいつでも取得できるように準備しておきます。モニタリングの結果、トラブルや事故の予兆があった場合には、その対応が必要になります。明確な事故が発生していない場合は資産の保護を改めて実施し、インシデントの発生が見られた場合には、インシデント対応を実施します。CISSPには、このような日々の運用に必要な活動を十分に理解することが求められます。セキュリティの運用に関するさまざまな知識は、運用担当者だけではなく、開発担当者にも必要になります。DevSecOps環境においては、運用担当者がどのような情報を必要としているか、そして運用上の修正作業を開発者が直接関与することなく運用担当者だけで行うためにはどのような機能の提供が必要かなどを検討する必要があるためです。たとえば、クラウド上でのサービス運用においてサーバーのパフォーマンスが足りない場合にサーバーの台数を増やすといったことが必要になります。
これらの作業を運用担当者が評価し、開発担当者に伝え、確認の上で開発担当者が構成をし直すといった場合、適切な時間で作業が終了しないことがあります。このような場合には運用担当者用のインタフェースをあらかじめ作成し、自ら修正ができるようにしておくのが望ましいと言えます。このような判断をするためにも、セキュリティの運用とソフトウェア開発、アクセス制御、リスクマネジメントのそれぞれのドメインの関連についてCISSPは熟知しておく必要があります。運用セキュリティにおいては、セキュリティ担当者の日常的な活動を把握し、それをサポートするためのインフラの構築について理解しなくてはいけません。CISSPには、セキュリティ担当者が効率的に日常的な活動を実践し、継続的なセキュリティ対策の維持ができる環境を計画、提案することが求められます。
「ソフトウェア開発セキュリティ」ドメインでは、コーディングだけではなく、ソフトウェアの開発における環境や手法を含めた、開発ライフサイクル全般についてのセキュリティに関する知識とスキルが求められます。SDNやIoTなど、これまではハードウェアのセキュリティとして捉えられていた分野も、ソフトウェア化されることにより、ますますソフトウェアに関するセキュリティへの依存度が高まっているなか、CISSPもソフトウェア開発について十分な知識が求められるようになりました。システムライフサイクル(SLC)におけるソフトウェア開発ライフサイクル(SDLC)について正しく理解し、開発者のプロセスや責任を明確にした上で、セキュリティ専門家が助言できる内容について把握します。開発と運用、そして品質管理を統合的に管理するためのDevSecOpsを実践するために、運用を考慮した開発についても支援します。
また、開発手法や開発環境の選択においても、複数の手法や環境の目的を正しく理解した上で、メリット・デメリットを判断し、プロジェクトに応じて選択できるようにセキュリティの視点から助言をします。単に開発を迅速に行うだけではなく、サービスのデプロイ時間を考慮して、効率的なテスト手法の選択、サービスレジリエンスを実現するための仕組みなどを提案します。ソフトウェア開発においては、実際にコーディングするスキルが必要なわけではなく、開発チームの役割や責任、システムライフサイクルにおける活動を適切に理解し、機密性、完全性が維持できるような助言を実施できるスキルと知識が求められます。
ISC2 Official Trainigの優位性
※新型コロナウイルスの状況によって、開催形態が変更になることがございます。お申し込みをされた方には個別にご連絡いたします。
【 配付物 】※講義は日本語で行います
※トレーニング開催の数日前にテキスト(冊子)等を送付いたしますので、申し込み先住所と別の場所に配送希望の場合は、申し込み時に当社担当に配送先を別途設定する旨のご連絡をお願いいたします。
日本語CISSP公式問題集(電子版)をプレゼント!
2020年5月以降のトレーニング参加者で、終了後アンケートにご回答いただいた方全員に、日本語CISSP公式問題集(電子版)をプレゼントいたします!CISSP資格取得にぜひご活用ください。
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申し込み 締切日 |
申し込み 締切日 |
|---|---|---|---|---|---|---|---|
| 2022年 | |||||||
| オンサイトトレーニング(教室型)での開催は、新型コロナウイルスの状況が落ち着き次第検討いたします。 開催の実施が確定いたしましたら、改めてご案内いたします。 |
|||||||
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申し込み 締切日 |
申し込み 締切日 |
|---|---|---|---|---|---|---|---|
| 2024年 | |||||||
| 6月 | 24日(月) | 25日(火) | 26日(水) | 27日(木) | 28日(金) | - | 5月29日(水) |
| 7月 | 22日(月) | 23日(火) | 24日(水) | 25日(木) | 26日(金) | 6月4日(火) | 6月26日(水) |
| 9月 | 2日(月) | 3日(火) | 4日(水) | 5日(木) | 6日(金) | 7月12日(金) | 8月7日(水) |
| 10月 | 7日(月) | 8日(火) | 9日(水) | 10日(木) | 11日(金) | 8月20日(火) | 9月11日(水) |
| 11月 | 11日(月) | 12日(火) | 13日(水) | 18日(月) | 19日(火) | 9月24日(火) | 10月16日(水) |
| 12月 | 11日(水) | 12日(木) | 13日(金) | 16日(月) | 17日(火) | 10月23日(水) | 11月15日(金) |
| 2025年 | |||||||
| 1月 | 27日(月) | 28日(火) | 29日(水) | 30日(木) | 31日(金) | 12月10日(火) | 12月24日(火) |
| 2月 | 12日(水) | 13日(木) | 14日(金) | 17日(月) | 18日(火) | 12月24日(火) | 1月17日(金) |
| 3月 | 10日(月) | 11日(火) | 12日(水) | 13日(木) | 14日(金) | 1月21日(火) | 2月12日(水) |
| アクセス環境 | Zoom ※公式サイトのダウンロードセンターより「ミーティング用Zoomクライアント」をダウンロードし、インストールをお願いします。 |
|---|---|
| 講義時間 | 9:30~19:00(開場・受付開始:9:15)
|
| 5日間トレーニング 受講費用 |
|
|---|---|
| 試験費用 |
|
DX活用事例や先進事例など100件以上公開中
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
