CISSP(公認情報システム監査人)


資格名 CISSP   ※Certified Information Systems Security Professionalの略
 資格の種類 国際資格
・米国の非営利団体 The International Information Systems Security Certification Consortium、「アイエスシースクエア」(ISC)2が運営、認定する資格。
資格の概要  IT技術者のキャリアアップの手段として注目が高まっている、米国のセキュリティプロフェッショナル認定制度。戦略的かつ公平な判断のできるベンダーフリーの認定資格で、セキュリティ専門家としてのスキルの裏付けを提供します。
主にITガバナンスやリスク管理、情報制セキュリティに関する包括的な知識が身に付けられ、キャリアアップに役立つ国際的な資格です。情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、現在、世界で69,000名以上が認定資格を保持しています。
CISSP(公認情報システム監査人)以外に、CISA(公認情報システム監査人)という資格もあります。いずれも米国の非営利団体が運営する専門資格で、国際的に認定された資格です。
特に、外資系企業や監査法人、金融機関などで、監査やセキュリティやリスク管理などの内部統制の仕事をするためには、これらの資格を所有していることが必須条件であることが多く、所有しているとキャリアアップに大変有利になることが多いようです。
尚、CISSP資格には、上位資格として日本国内の行政や文化、慣習などに特化した「CISSP−行政情報セキュリティ」や、セキュリティエンジニア向けの「ISSEP」、セキュリティアーキテクト向けの「ISSAP」、セキュリティ管理者向けの「ISSMP」などのバリエーションがあります。

CISSP認定資格は資格継続のために、情報セキュリティ関連のトレーニングコースに参加するなどして、3年間ごとに120ポイント以上のCPEクレジット(継続教育単位)を取得しなければなりません。この制度があることで、取得者は常に新しい知識やスキルを身に付けることになります。そして、だからこそユーザー自身のスキルアップに有効な資格と目され、また世界中の企業が評価する資格となりつつあります。
試験方式  ・試験形式:Computer Based Testing(CBT方式)
・出題形式:250問(日本語・英語併記)四者択一マークシート/試験時間 6時間  
・合格基準:1000点満点中700点以上(70%以上)の正解率
受験資格  ●受験要件
・「プロフェッショナルとしての」業務経験
※CBK10ドメインのうち、2つ以上の分野において5年以上の業務経験が必要。なお、大卒者や一定の資格の取得者は、1年分の経験が免除されます。
・「倫理規約(Code of Ethics)」への合意
・犯罪の履歴がないこと
●CISSP認定要件
・認定試験において1,000点中700点以上のスコアで認定試験に合格していること
・正しく記述されたエンドースメント(推薦状)を提出すること
・無作為に行われる業務経験に関する監査に合格すること
 試験科目 ●出題範囲 CBK(Common Body of Knowledge)10ドメインと、出題内容。
1.情報セキュリティとリスクマネジメント
・情報セキュリティポリシーや関連するルールの策定、実施方法、リスク管理の手法等が問われる。
2.セキュリティアーキテクチャと設計
・企業組織におけるネットワークインフラストラクチャの設計や監視、セキュリティを確保するための概念、原則、構造、規格・標準について、また、国際的なセキュリティ標準や規格の種類、内容などが出題される。
3.アクセス制御
・アクセス制御の原則・基本概念や、脅威の特定、アクセス制御の種類および分類、アクセス制御技術とモデル、監視システム、監査方法など
4.アプリケーションセキュリティ
・ ソフトウェアアプリケーションにおける重要なセキュリティ概念や、アプリケーションレベルの脅威など
5.運用セキュリティ
・ネットワークや記憶装置、ハードウェアや記録媒体にある情報資産を保護するために、これらのリソースにアクセス権を持つオペレーターや管理者などを管理する方法について、その他、運用上の違反行為の特定、検出方法
6.暗号学
・暗号技術の歴史から、さまざまな暗号方式・アルゴリズムの原則・特徴、公開鍵・共通鍵のアルゴリズム、PKI、システム上の暗号化アーキテクチャ、暗号への脅威などが詳細に出題される。
7.通信とネットワークのセキュリティ
・ ネットワーク構造や伝送(トランスミッション)方式、伝送(トランスポート)形式や、通信の認証技術、ネットワーク上の脅威およびその防護策など
8.物理(環境)セキュリティ
・外部周辺エリアから内部のデータセンターやサーバルームなどの情報資産や、施設全体に対する物理的な保護技術について問われる
9.事業継続と災害復旧の計画
・ 正常な事業運営機能が停止した場合の業務の維持と復旧方法。非常時でも重要なプロセスを止めずに業務を遂行するためには事前にどう計画するかなど。
10.法、規則、コンプライアンス、捜査
・コンピュータ犯罪に適用される法律と法的問題、コンピュータ犯罪の調査に使用される法科学犯罪捜査(フォレンジック)の手法や考え方などが出題される
スケジュール  年間10回程度開催(1〜3月、6〜12月)第3又は第4日曜日   ※年間スケジュールで公開されます。
試験会場  東京
受験料  68,250円(消費税別)
資格 難易度  難易度  「A」難関   合格率 非公開(60〜70%くらい?)


------------------------------------------------  
【資格の難易度レベル・難易度ランキング】
CISSPやCISAの難易度を考える時、よく情報処理推進機構(IPA)主催の情報セキュリティ管理者向けの「情報セキュリティスペシャリスト」やシステム監査として「システム監査技術者」が比較されますが、試験の内容や難易度面では
それほど変わりはないと考えていいでしょう。試験の違いは論述問題があるかないかの違いくらいで、CISSPの場合は250問の4択問題を6時間で解くだけです。日本の国家資格では、応用情報技術者より難易度は低いレベルに感じます。
ただ、試験はかなり実戦的な内容が問われるしけんであるため、知識だけの試験である日本のIPA情報処理関係資格とは少々毛色が異なるため、単純な難易度比較は難しい気もします。
 受験対策
 &
資格の将来性
米国の(ISC)2が認定する権威のある資格で、日本では「公認情報システム監査人」と呼ばれます。1995年にアメリカでスタートした認定資格で、現在は世界133カ国で6万9000人以上、日本では1000人以上が取得するまでになっている。国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザー に重視されています。
そして、業種に関係なく、情報セキュリティにかかわる人材(コンサルタント、管理職、技術職、監査員など)が最低限持つべき基本資格としても評価されています。
米国においては政府のゴールドスタンダードとして認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、英国では、CISSP有資格者は、政府の情報セキュリティ要員のためのトレーニングプログラムに自動認定されます。他には、スコットランドヤード(ロンドン警視庁)やインターポール(国際警察機構)でもCISSP取得が進められています。

この資格の特徴は、情報リスク管理に試験範囲を特化していることです。ITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出題されていますが、出題される問題は、知識があれば解けるというものではなく、特定の状況下で最適な判断を問うものが中心です。たとえば、「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」をなど総合的に考えることを課すような問題です。
資格の取得には、定められたCBK10ドメインのすべてをカバーする知識と見識が必要となります。また、合格ラインの700点以上(1000点満点中)は、試験レベルとしてはかなり高いと言えます。
ネットワークエンジニアやサー バエンジニアのようにセキュリティ技術に携わるITエンジニアにとっては、次のステップとして狙いやすい資格だと思います。

勉強の方法は、主催者団体から出されているテキストブックや問題集を購入して自習したり、また団体主催の有料セミナーを受講することなどが効果的です。ただ、セミナーはかなり費用がかかりますので、自己投資するかどうかは十分検討する必要があります。合格率から見た数字では、セミナー受講生の合格率は 2/3 程度、独学の方の合格率は 1/2 程度ということです。
いづれにしても、試験の出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」(100問/7000円)で自分の実力を試すことがいいでしょう。このアセスメントの結果を分析することで、自分の強みや弱みを確認できますし、その上で、セミナーの受講を受けるかどうかを決めてもいいと思います。ある程度ITガバナンスの経験があって考え方などが分かっている人は問題集を集中的に繰り返して何回も解き、足りない知識や苦手な分野をカバーする学習をすることで試験に対応できると思います。
問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習する方j法は、どの試験でも同じだと思いますが、試験時間が6時間で 250問の4択マークシートを解答するのはさすがにきついものがあります。
試験に英和辞典を持ち込むことはできますが、辞書を引かなければ分からないようでは無理だと思った方がよいだろう。また、少なくてもある程度得意分野がないと合格は難しいかと思います。


※CISSP認定資格はグローバルな資格ですが、それゆえに日本の情報セキュリティ事情に100%最適化しているとは言えない部分があります。そこで、日本特有の社会背景やICT(Information and Communication Technology )環境などを考慮した「CISSP-行政情報セキュリティ」認定資格が設けられています。
CISSP認定保持者でなければCISSP-行政情報セキュリティ認定試験を受験することはできませんが、ガイドブックやセミナーは、日本の情報セキュリティ要件に精通する手段として、CISSP認定保持者でない人にも活用できます。
この試験により、行政機関で情報セキュリティに関わる人材の教育、首都圏―地方間の情報セキュリティ意識の格差是正、情報セキュリティ人材の底上げと育成に役立てられています。
通信講座   CISA(R)(公認情報システム監査人)通信講座コース
通学スクール   CISA(R)(公認情報システム監査人)通学講座コース
教材
問い合わせ先   (ISC)2 CISSP 公式サイト
 
HOME

Copyright(c)2009資格の難易度All Rights Reserved.