CISSP(Certified Information Systems Security Professional)
情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格
セキュリティ プロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。
2018年1月現在、全世界で122,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も1,800名を超え、認知度と共に保有者数も増加しております。 CIO*1、CISO*2をはじめとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。
体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。
(ISC)2およびCISSPについて
(ISC)2(International Information Systems Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。 CISSP(Certified Information Systems Security Professional)は、(ISC)2が認定している資格です。
| 1. Security and Risk Management (Security, Risk, Compliance, Law,Regulations, Business Continuity) |
| セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続) |
| 2. Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery) |
| セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ) |
| 3. Identity and Access Management (Controlling Access and Managing Identity) |
| アイデンティティとアクセスの管理(アクセス制御とID管理) |
| 4. Asset Security (Protecting Security of Assets) |
| 資産のセキュリティ(資産の保護) |
| 5. Security Engineering (Engineering and Management of Security) |
| セキュリティエンジニアリング(セキュリティ設計と構築) |
| 6. Communications and Network Security (Designing and Protecting Network Security) |
| 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護) |
| 7. Software Development Security (Understanding, Applying, and Enforcing Software Security) |
| ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行) |
| 8. Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing) |
| セキュリティの評価とテスト(セキュリティテストの設計、実行、分析) |
問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間
受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申し込みにおける注意点:
(ISC)2では、CISSP取得を支援するために、CBK8ドメインのすべてをレビューする場として 「(ISC)2 公式 CISSP CBKトレーニング」を開催しています。
5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。
| 日程 | 内容(予定) |
|---|---|
| 1日目 | セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続) 資産のセキュリティ(資産の保護) |
| 2日目 | アイデンティティとアクセスの管理(アクセス制御とID管理) セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ) |
| 3日目 | セキュリティエンジニアリング(セキュリティ設計と構築) |
| 4日目 | 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護) ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行) |
| 5日目 | セキュリティの評価とテスト(セキュリティテストの設計、実行、分析) まとめ 模擬試験解説 |
ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲をはじめとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。
ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有していることが求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。
セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。
ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。
ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。
ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。
ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。
実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。
(ISC)2 Official Trainigの優位性
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申し込み 締め切り日 |
申し込み 締め切り日 |
|---|---|---|---|---|---|---|---|
| 2019年 | |||||||
| 1月 | 21日 (月) |
22日 (火) |
23日 (水) |
28日 (月) |
29日 (火) |
満員 | 満員 |
| 2月 | 18日 (月) |
19日 (火) |
20日 (水) |
>21日 (木) |
22日 (金) |
12月26日 (水) |
1月30日 (水) |
| 3月 | 12日 (火) |
13日 (水) |
14日 (木) |
18日 (月) |
19日 (火) |
1月23日 (水) |
2月14日 (木) |
| 5月 | 27日 (月) |
28日 (火) |
29日 (水) |
30日 (木) |
31日 (金) |
4月9日 (火) |
4月24日 (水) |
| 6月 | 24日 (月) |
25日 (火) |
26日 (水) |
27日 (木) |
28日 (金) |
5月7日 (火) |
5月29日 (水) |
| 7月 | 18日 (木) |
19日 (金) |
24日 (水) |
25日 (木) |
26日 (金) |
5月29日 (水) |
6月24日 (月) |
| 9月 | 4日 (水) |
5日 (木) |
9日 (月) |
10日 (火) |
11日 (水) |
7月17日 (水) |
8月8日 (木) |
| 10月 | 23日 (水) |
24日 (木) |
25日 (金) |
28日 (月) |
29日 (火) |
9月4日 (水) |
9月27日 (金) |
| 11月 | 11日 (月) |
12日 (火) |
13日 (水) |
14日 (木) |
15日 (金) |
9月24日 (火) |
10月16日 (水) |
| 12月 | 9日 (月) |
10日 (火) |
11日 (水) |
12日 (木) |
13日 (金) |
10月21日 (月) |
11月13日 (水) |
| 2020年 | |||||||
| 1月 | 20日 (月) |
21日 (火) |
22日 (水) |
27日 (月) |
28日 (火) |
12月3日 (火) |
12月25日 (水) |
| 2月 | 17日 (月) |
18日 (火) |
19日 (水) |
20日 (木) |
21日 (金) |
12月25日 (水) |
1月22日 (水) |
| 3月 | 18日 (水) |
19日 (木) |
23日 (月) |
24日 (火) |
25日 (水) |
1月29日 (水) |
2月20日 (木) |
| 講義時間 | 9:30~19:00(開場・受付開始:9:00)
|
|---|
| 5日間トレーニング 受講費用 |
|
|---|---|
| 試験費用 |
|
<更新日 2017年9月1日>
東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F
東京都千代田区外神田 4-14-1 秋葉原UDX6F
東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
検索
Japan