カスタマーサポートエンジニアが難関資格CISSPに挑戦！取得後のキャリアへの活かし方とは

デジタルペンテスト部の渡辺晃太です。

普段はITサービスの運用を担当しています。お客様のセキュリティ課題に対する理解を深め、よりよい提案につなげたいと考え、2024年の3月にセキュリティ業界では難関資格として知られるCISSPを取得しました。IT系の資格取得については、インターネット上で「意味がある・ない」といった議論を目にすることもあります。特にCISSPは実機での実践形式の試験ではないため、業務に転用しにくいという意見もありますが、本当にそうでしょうか？

今回の記事では、CISSPを取得するか悩んでいる方や、CISSPを取得後のキャリアについて知りたい方に向けて、私がCISSPを受験した理由と勉強にあたり工夫したこと、業務で活かせる「CISSPの考え方」をお話しします。

CISSPとは

CISSP（Certified Information Systems Security Professional）は、ISC2^※が提供する情報セキュリティ分野での国際的な資格で、セキュリティについて深い知識を有していることを証明するものです。

認定を受けるためには、セキュリティリスク管理、アクセス管理、ネットワークセキュリティ、セキュリティ評価・運用など、8つのドメインにわたる専門知識が必要です。試験はリアル会場で行われ、形式はComputerized Adaptive Testing（CAT）が採用されています。CATでは、受験者の回答に応じて次の問題の難易度が変わる4択問題を、100～150問回答します（2024年9月時点）。試験終了後は、すぐに合否結果を受け取ることができます。

※ ISC2（International Information System Security Certification Consortium）：情報セキュリティの専門家向けに認証プログラムを運営する国際的な組織で、セキュリティ分野の知識向上や倫理的実践を促進する役割を担っています。

私の略歴

学生時代は数学を専攻していました。ラックに入社して社会人になってからは、標的型攻撃メールに対して社員のセキュリティレベルを向上させる、「標的型攻撃メール訓練 T3」サービスを担当しました。

標的型攻撃メール訓練の業務では、お客様と訓練の計画や内容を調整することがメインでしたが、ときどきメール訓練で使用するシステムのサーバメンテナンスといった、エンジニアらしい業務も行っていました。ただ、一般的なシステム開発エンジニアとは違う業務スタイルだったため、システム開発エンジニアの友人に仕事内容を説明するのに苦労しました......。

また、1か月ほど営業アシスタント業務をスポットで手伝ったこともあります。今振り返ると社内の仕組みを知る良い機会でした。

さらに、Webアプリに対して攻撃者視点で疑似攻撃を行って安全性を調査する、「Webアプリケーション診断ハイブリッド」も担当しました。はじめはWebアプリの脆弱性診断のみ担当していたので、技術を高めることに集中していました。しかし、経験を積むにつれて顧客と案件前の調整や同行など、担当する業務範囲が広がっていきました。今では体感で顧客調整が7割、技術が3割ほどの割合です。ここまで7年間カスタマーサポートエンジニアとして働いてきましたが、実はセキュリティ系の資格を持っていませんでした。

なぜCISSPを取得しようと考えたのか

CISSPの取得を目指した理由は、脆弱性診断などのサービスを担当するだけでは踏み込めないお客様の内部事情を理解し、より本質的なセキュリティ課題を解決する提案をしたいと考えたからです。診断業務も楽しいですが、本来知ることができない会社のそれぞれの事情が興味深く、表面的には見えにくい事情を汲んだ提案をすることに面白さを感じました。

受験スケジュールと工夫したこと

ここからは実際に受験した際のスケジュール感と、自分なりに工夫した勉強の方法についてお話しします。

受験スケジュール

受験のスケジュール感は下記のとおりです。

2023年7月	CISSPの動画講座で学習を始めました。CISSP公式問題集を解き始め、ドメイン1のリスクマネジメントに関する問題については脆弱性のリスク判定で使用することもあるので、馴染みやすい分野でした。しかし、アメリカの法律やガイドライン、不明な用語が多すぎて8ドメイン中ドメイン2あたりで挫折して、問題をすべて解けませんでした。
2023年10月	CISSP CBKトレーニングを5日間受講した後、問題演習に取り組み、6～7割程度は問題を解けるようになりました。講師による用語の説明やCISSPの問題を解くための思考法に関するレクチャーを受けたことで回答できる問題が増えました。
2023年11月～2024年1月	CISSP公式問題集を1周完了し、CBKトレーニング動画の見返しをしました。
2024年2月	CISSP公式問題集での問題演習を2周完了し、受験記を参考に試験問題の傾向を探っていました。また、CISSP合格者が用語解説をしているブログ記事に注目しました。CISSPに合格していて、用語を1つずつ解説しているということは、試験に出る確率が高いので忘れてはいけない項目と認識して勉強しました。現在、この方法が通用するかなんとも言えませんが、個人的に有効ではないかと感じました。
2024年3月	CISSP受験 合格

学習状況と試験当日の様子

最初は独学で受験しようと公式問題集で勉強していましたが、問題の意味がわからず挫折してしまいました。しかし、会社がトレーニング費用をサポートしてくれることになり、一気に再スタートを切りました。

10月にトレーニング受講後は、約4か月かけてじっくり学習を進め、試験直前で自習室にこもり追い込みをかけました。試験当日は、次の問題に進むと後戻りができない出題形式なので慎重に解いていきました。また、試験会場では休憩の前後にボディチェックが行われます。これに意外と時間を取られるので、休憩時間の管理も重要なポイントでした。

CISSPがキャリアにどう生きているか

ここからはCISSPで学んだ知識が、実際の仕事でどのように役立っているのかを紹介します。CISSPのドメインは広いので、他のCISSPホルダーが学んだことを実務にどのように適用しているかも気になります。

セキュリティ原則を活かした運用アプローチの検討

2024年から脆弱性診断案件の管理や運用改善を担当するようになり、業務プロセスやルールの運用方法を改めて考えることがありました。その際、CISSPで学んだ「最小権限」や「職務分離」などのセキュリティ原則にもとづき、業務を円滑に進める工夫や、セキュリティ強化による弊害について検討しました。

最小権限とは権限を過剰に与えず必要最低限にするという考え方で、職務分離は異なる権限の人が関わることで悪意がある人の不正を防ぐ考え方です。セキュリティ関連業務に携わっていると聞いたことがある原則だと思います。この原則をもとにすると考えがまとまりやすく、議論する際もスムーズに進むと感じました。

例えば、標的型攻撃メール訓練業務では、メールの送信が1人では完了できない仕組みになっています。訓練メールの送信先が正しいメールアドレスであることを複数人でチェックすることで、人為的なミスや不正送信を防いでいます。

しかし、複数人での確認体制は、人手不足や工数の増加といった課題も引き起こします。私は標的型攻撃メール訓練のカスタマーサポート担当として業務をする中で、人為的なミスが脆弱性となる場面を何度も見てきました。ミスをしない人はいないので、通常業務でミスや不正を防ぐ仕組みを構築する際には、最小権限や職務分離のような代表的なセキュリティ原則をもとに考えることは有効だと考えています。

費用対効果に基づくリスク対応

脆弱性診断を担当するエンジニアとして、診断結果の問い合わせを日々受けています。例えば、Webサイトの脆弱性の修正に関する考え方について問い合わせを受けた際は、インシデントにつながるリスクを基に修正の優先度を設定することを推奨しています。しかし、Webサイトごとにリスク受容範囲は異なるため、修正の優先順位付けには慎重な判断が必要です。

CISSPでは、費用対効果をもとにリスクに対応するという考え方があります。例えば、想定される被害額と修正コストを比較し、修正コストが想定被害額を上回る場合はリスク対応をしない方針とします。これは極端な例ですが、現実的には想定被害額の正確な算出が難しいため、インシデントの発生可能性やWebサイトの重要度に応じた、定性的なリスク対応が主流のように思います。脆弱性対応で費用対効果の考え方を直接実践できなくとも、お客様との議論や業務プロセスを設計する際の考え方の1つとして役立ちます。

さいごに

2024年からセキュリティコンサルティング業務に携わる機会を得たので、CISSPで学んだ知識を様々なかたちで活かせることを楽しみにしています。特に、ゼロからセキュリティポリシーを作成する考え方は研修で学んだものの、実務で実践することはこれまでありませんでした。

今後はポリシー作成などの上流工程に携わる機会も増えると考えており、CISSPで得た知識を実務に落とし込みながら経験を積み、スキルを一層磨いていきたいです。

プロフィール