このページの本文へ

2007年05月10日更新

キャリアアップ! スキルアップ! 情報セキュリティ資格「CISSP」と新資格「CISSP-行政情報セキュリティ認定資格」とは

(ISC)2Japan代表 衣川俊章氏

(ISC)2Japan代表 衣川俊章氏

ITの普及とともに安心・安全を求める意識──ITセキュリティへの関心は高まる一方だ。そうした社会情勢を受けて、現場では情報セキュリティ資格の世界基準ともいえるCISSP認定保持者の確保が今後の重要課題となっている。果たしてCISSP認定資格とはどのような資格なのか、そして6月にスタートする日本独自の「CISSP-行政情報セキュリティ」認定資格とは? 同資格を提供する(ISC)2(読み:アイエスシースクエア。非営利団体 The International Information Systems Security Certification Consortium)代表の衣川俊章さんに聞いた。

社会全体がますます注目 常に不足する情報セキュリティ“プロフェッショナル”

 社会のIT化が急速に高度化するにつれて、情報漏洩や重要インフラのシステム障害、サイバー犯罪などへの対策の重要度も増しているといえます。現在多くの企業が、リスクマネジメントの観点から情報セキュリティも企業戦略の一部と捉えて、充実化に注力しはじめました。こうした危機管理意識の向上を背景にして、情報セキュリティのプロフェッショナルに対する関心とニーズが高まっているのです。そして、情報セキュリティのプロフェッショナルであることを証明する資格として、CISSP(Certified Information Systems Security Professional)認定資格がスタンダード視されてきたのだと思います。

最低限持つべき情報セキュリティ資格 世界で認められている「CISSP」認定資格とは?

 CISSP認定資格は1995年にアメリカでスタートした資格で、現在は世界126カ国で4万8000人以上、日本では800人以上が取得するまでとなりました。国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザーに重視されているのです。そして、業種に関係なく、情報セキュリティにかかわる人材(コンサルタント、管理職、技術職、監査員など)が最低限持つべき基本資格として評価されています。

 なおCISSP認定資格は資格継続のために、情報セキュリティ関連のトレーニングコースに参加するなどして、3年間ごとに120ポイント以上のCPEクレジット(継続教育単位)を取得しなければなりません。この制度があることで、取得者は常に新しい知識やスキルを身に付けることになります。そして、だからこそユーザー自身のスキルアップに有効な資格と目され、また世界中の企業が評価する資格となりつつあるのです。

難関資格CISSP認定試験の突破を目指す 勉強方法のヒントとは

 CISSP認定資格の取得には、定められたCBK10ドメイン(注1)のすべてをカバーする知識と見識が必要となります。また受験するには、CBK10ドメインのうち1つ以上の情報セキュリティ分野における4年間以上(大卒者は3年間以上)の業務経験、ほかのCISSP認定資格者や上級管理職からの推薦、(ICS)2倫理規約への同意などが条件となります。

(注1)CBK10ドメイン
情報セキュリティ分野におけるグローバルレベルの共通知識を網羅したCBK(Common Body of Knowledge)を、10ドメインに分類したもの。
1.アクセス制御
2.アプリケーションセキュリティ
3.事業継続と災害復旧の計画
4.暗号学
5.情報セキュリティとリスクのマネジメント
6.法、規制、コンプライアンス、捜査
7.運用セキュリティ
8.物理的(環境)セキュリティ
9.セキュリティアーキテクチャと設計
10.通信とネットワークのセキュリティ

 試験問題は250問ですべて4択方式、制限時間は6時間です。単純計算すると1問を1分少々で解答しなければならないので、6時間は長いようで短いですね。出題される問題は、知識があれば解けるものではなく、特定の状況下で最適な判断を問うものが中心です。それでいて合格ラインは700点以上(1000点満点中)なので、試験レベルは高いと言えます。

 勉強方法としては、出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」(100問/7000円)で自分の実力を試すことをおすすめします。私も受験の際に利用しましたが、このアセスメントの結果を分析することで、自分の強みや弱みを確認できると思います。その上で、セミナーを受講したりガイドブックで勉強したりすることで、エネルギーも資金も必要となる資格取得を、より効率的に進められます。

 また、CISSP認定資格を受験する人あるいは認定保持者と、情報交換をすることも有益ですね。インターネットを通じて知り合いを作るのもいいですし、セミナーに参加して輪を広げるのもいいですね。何しろ出題範囲が広いので、闇雲に勉強しても成果が出ているのか不安になりがちです。だからこそ、セルフアセスメントテストや情報交換を通じて自分の実力を判断することが大きなポイントになるでしょうね。

ジャパンオリジナルの情報セキュリティ資格 「CISSP-行政情報セキュリティ」

CISSP-行政情報セキュリティ認定試験 公式ガイドブック
CISSP-行政情報セキュリティ認定試験 公式ガイドブック
佐々木良一 監修、(ISC)2
出版社:アスキー
定価:本体10,000円+税
発売日:2007/05/23
形態:B5 (592ページ)
ISBN:978-4-7561-4925-1

 CISSP認定資格はグローバルな資格ではありますが、それゆえに日本の情報セキュリティ事情に100%最適化しているとは言えません。そこでこの度、日本特有の社会背景やICT(Information and Communication Technology )環境などを考慮した「CISSP-行政情報セキュリティ」認定資格を新設しました。その第1回認定試験を2007年6月24日に実施します。この試験により、行政機関で情報セキュリティに関わる人材の教育、首都圏―地方間の情報セキュリティ意識の格差是正、情報セキュリティ人材の底上げと育成に役立てることができるのではないでしょうか。

 なお「CISSP-行政情報セキュリティ」認定試験を受験するには、先に紹介したCISSP認定資格保持が条件となります。認定試験は4択式の全125問で、制限時間は3時間。合格ラインは700点以上(1000点満点中)です。試験範囲はCISSP-行政情報セキュリティのCBK4ドメイン(組織と政策・制度、法、技術、倫理と慣行)です。合格するにはCISSPのCBKについての知識をベースにして、日本特有の情報セキュリティ要件を勉強する必要があります。また、2007年5月23日に「CISSP-行政情報セキュリティ認定試験公式ガイドブック」が出版されるほか、セミナーも予定されているので活用してはいかがでしょう。さらに付け加えますと、先ほど申したとおり、残念ながらCISSP認定保持者でなければCISSP-行政情報セキュリティ認定試験を受験することはできませんが、ガイドブックやセミナーは、日本の情報セキュリティ要件に精通する手段として、CISSP認定保持者でない方にも活用していただける内容となっています。

 CSR(Corporate Social Responsibility = 企業の社会的責任)や企業のコンプライアンス(法令尊守)への取り組みに対する関心が高まっていることを考えると、今後さらに情報セキュリティへのニーズは高くなると予測されます。また、データやナレッジなどの情報をただ守るだけでなく、積極的に経営に生かす企業も多く見られます。そういう時代だからこそ、ぜひCISSP-行政情報セキュリティ認定資格取得にチャレンジしていただきたいですね。

■関連記事

  • いまさらですが「情報セキュリティ」とは、なんですか?

    情報漏えい対策の基本を理解しよう

    いまさらですが「情報セキュリティ」とは、なんですか?

    セキュリティ(情報セキュリティ)という言葉が一般的に使われるほど、「情報」には守るべき価値があることを多くの人が認識している。たいへん好ましいことだが、情報セキュリティとは何なのかを、きちんと理解し...


キャリア連載バックナンバー
キャリア・ピックアップ

記事一覧へ >>

採用を勝ち取る転職必勝マニュアルバナー

おすすめ連載

組み込み系エンジニア特集

今さら聞けないIT英語

エンジニアライフ

資格試験対策

プロマネ・スキル

ビジネススキル

独立起業事例集

キャリア・コーナー紹介