セキュリティ対策の株式会社ラック

  • 資格取得支援

CISSP CBKトレーニング/試験概要

座学

組織の信頼度・向上

cissp

2022年1月現在、全世界で152,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も2,900名を超え、認知度と共に保有者数も増加致しております。CIO、CISOを始めとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。

体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。

ISC2およびCISSPについて

ISC2

ISC2(International Information System Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。CISSP(Certified Information Systems Security Professional)はISC2が認定している資格です。詳細はこちらをご参照ください。

ISC2 Official Seminarの優位性

  • 日本国内では唯一のISC2公式トレーニング
  • トレーニングコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBKが年2回アップデートされる毎にトレーニングコンテンツにもそれを反映するべく対応している
  • 講師陣が全員CISSP保有者で、ISC2の講師認定プログラムを経たISC2公認講師である
  • 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
  • 講師陣がISC2公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しかも、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものになっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
  • CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効。

試験出題範囲(CAT/Computerized Adaptive Testing

1. セキュリティとリスクマネジメント

2. 資産のセキュリティ

3. セキュリティアーキテクチャとエンジニアリング

4. 通信とネットワークセキュリティ

5. アイデンティティおよびアクセス管理

6. セキュリティの評価とテスト

7. セキュリティの運用

8. ソフトウェア開発セキュリティ

問題数 : 最低100項目、最高150項目(正解率によって、出題される問題数が変わります)
総時間 : 最大3時間
[提供元]ISC2
 ※CAT形式の詳細はこちらをご確認ください。

CISSP試験受験方法

受験形式 :Computerized Adaptive Testing(CAT)形式
試験運営元:ピアソンVUE
試験申込における注意点:

  • バウチャー(受験用チケット)による受験になります。
  • バウチャー発行後の交換、返金、払い戻し等は一切出来かねますので予めご了承下さい。
  • バウチャー発行後の日程変更はピアソンVUEにて直接受付となります。変更手数料は50ドルです。(2021年5月現在)
  • バウチャーの転売は禁止されております。
  • バウチャーには有効期限がありますので有効期限内に受験下さい。有効期限は納品時にお知らせしますが最大1年間です。
  • 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願い致します。
  • 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切出来かねます。
  • 試験のみ受験の方は、ピアソンVUEに直接お申し込みください。

ピアソンVUE - CBTによる試験配信のリーディングカンパニー

CISSP8ドメイン

1. セキュリティとリスクマネジメント

「セキュリティとリスクマネジメント」ドメインでは、情報セキュリティの基本的な考え方となるセキュリティ原則に関する知識が求められます。機密性、完全性、可用性などの原則を理解することと、幅広く一般的な情報セキュリティとリスクマネジメントに関する知識が必要です。

このドメインでは、セキュリティガバナンスとコンプライアンス分野をベースに知識とスキルを積み上げていかなければいけません。

CISSPには、情報セキュリティポリシーの策定やセキュリティ機能を実践するための手順を策定するスキルが求められます。それは、セキュリティ機能が慎重かつ一様に適用されるための成功要因となります。この他にも、情報と要件の収集、ビジネス影響度分析、 目標復旧時点の設定を含む、事業継続計画におけるあらゆる側面が求められます。

本ドメインの中心はリスクマネジメントです。リスク分析、対策の選択と実施、モニタリング、報告、リスクフレームワークについての知識が求められます。さらに、脅威モデルの導入、ハードウェア、ソフトウェア、サービスの調達や運用に関する契約や管理など、リスクマネジメントの統合的な考え方も求められます。

人的セキュリティについては、ポリシー策定、セキュリティ教育や訓練、意識向上(気づき)トレーニングの計画、実行を含む維持管理のスキルが求められます。

最後に、ISC2 が提供しているその他の資格と同様に、CISSPでも一般的な倫理考慮事項についての知識が求められ、 更に資格所有者として求められるISC2倫理規約について理解していなければなりません。情報セキュリティ専門家は自らの技能が、 独立的で信頼され、一貫して倫理的かつ健全であることが求められることも理解しておく必要があります。

2. 資産のセキュリティ

「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。

データ化された個人情報の収集やストレージサービスが急速に発展した結果として、プライバシーに考慮した情報の管理も求められるようになりました。プライバシーについては、データオーナー、データ利用者、データの残留性の観点からの考慮が必要とされ、情報の収集やストレージの取り扱いに 影響を与えるものとなっています。

情報の収集とストレージについて考慮する際には、データの保有についてのルールを明確にしておく必要があります。保有については、 組織のルールだけではなく、法規制の観点からも考慮する必要があります。

CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、特にこの分野については詳細な知識とスキルが必要です。

データの取り扱いについてはライフサイクルに従って取り扱い要件を理解しなければいけません。特にラベル付けや廃棄などの要件を評価し、 これに基づいてポリシーや手順を策定できる知識とスキルが求められます。

3. セキュリティアーキテクチャとエンジニアリング

「セキュリティアーキテクチャとエンジニアリング」ドメインでは、様々な問題(例えば、悪意のある行為、人的エラー、ハードウェアの故障や自然災害によるトラブルなど) が発生しても、必要なビジネス機能を続行する情報システムおよびそれに関連するアーキテクチャを構築することができる知識やスキルが求められます。これは、システムエンジニアリングにおける情報セキュリティ原則の適用ができるかどうかというスキルに関連します。

CISSPはセキュアな設計の概念や原則について理解している必要があります。

セキュリティモデルの基本的な概念を理解し、組織のビジネス要件とセキュリティポリシーに基づいた設計要件を満たすセキュリティ対策の選択ができるスキルが求められます。これらを実践するためには、情報システムにおけるセキュリティの制限と能力を正しく把握する必要があるため、それらに関する知識も求められます。

CISSPは継続的に情報システムの脆弱性を評価し、低減するための知識とスキルも求められます。具体的には、クライアントとサーバの脆弱性、 データベースに関するセキュリティ要件、分散システムやクラウドに関するセキュリティや暗号システム、産業用の制御システムなどが対象となります。また、ウェブアプリケーションやモバイルデバイス、組込みシステムなどの脆弱性についても把握できる知識とスキルが必要です。

暗号は機密性、完全性、真正性を確保することが目的であり、情報の意図しない変更からの保護に有効な対策であるため、本ドメインでも詳細な知識が求められます。一般的な暗号の概念だけではなく、暗号のライフサイクル、システム、公開鍵基盤、鍵管理の実践、デジタル署名およびデジタル著作権管理の広範囲にわたる知識が求められます。 また、セキュリティ専門家として暗号解読の攻撃手法(ソーシャルエンジニアリング、総当たり、暗号文、既知平文、頻度分析、選択暗号、実装攻撃など)を十分に理解しておく必要があります。

セキュリティエンジニアリングに関する知識は、情報システムの開発に限定されることなく、施設や設備の設計などの物理的なセキュリティに関する設計の原則についても知識が求められます。

4. 通信とネットワークのセキュリティ

「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズな ネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。

CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を 十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、 エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。

CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するために様々な技術を利用して、 セキュアな通信チャネルを設計および実装できるスキルが求められます。また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、 低減する知識やスキルについても求められます。

5. アイデンティティとアクセスの管理

「アイデンティティとアクセスの管理」ドメインでは、情報セキュリティに不可欠な、人と情報システムの相関、情報システム同士の相関、さらには情報システムの個々の コンポーネント間の相関に利用されるアイデンティティとアクセス権のプロビジョニングや管理に関連した知識が求められます。これらのセキュリティが損なわれると、 攻撃者の不正アクセスによって機密性が侵害されます。情報セキュリティ専門家はこの問題に多大な時間を費やすため、この分野の知識やスキルも必要です。

このドメインでは、利用者、システムおよびサービスの識別と認可を扱います。CISSPには、ID管理システム、単一要素認証や多要素認証、説明責任、セッション管理、 ID登録とその証明、IDフェデレーション、およびクレデンシャル(資格情報)管理システムに関する知識も求められます。

クラウドベースによるID管理やアクセス制御、またそれらと社内のID管理サービスとの統合についての知識も求められます。CISSPは認可に関する仕組み(ロールベース、ルールベース、 強制アクセス制御、任意アクセス制御など)の実装と管理に関するスキルも求められます。

他のドメインと同様に、本ドメインでもシステムに対する攻撃やライフサイクルにわたる攻撃の防止や低減についての知識も求められます。

6. セキュリティの評価とテスト

「セキュリティの評価とテスト」のドメインでは、情報資産やそれに関わるインフラの評価をさまざまな技術やツールを用いて実施する知識とスキルが求められます。これらの評価は構造的な問題や設計上の欠陥、設定のミスやハードウェアやソフトウェアの脆弱性、コーディングのミス、その他の欠陥など、 情報システムが期待通りに機能するために、リスクの識別や低減を状況に応じて実施します。CISSPには、組織における情報セキュリティの計画、ポリシー、 プロセスおよび手順が適用されていることに関する継続な検証も求められます。

CISSPには、評価とテストの戦略を検証し、これらのテストを実行できるスキルが求められます。脆弱性検査、ペネトレーションテスト、代理トランザクション、 コードレビューやコードテスト、ミスユースケース、およびインタフェース試験についての知識も求められます。

CISSPにはセキュリティポリシーとそれに伴う手順を継続的に、かつ一様に適用することが求められます。また、障害復旧や事業継続計画を維持管理、 必要に応じて更新し、災害発生時にはそれらが目的に応じて確実に機能するようにしなければなりません。このため、本ドメインではセキュリティ運用におけるデータ収集に関する知識が求められます。アカウント管理、マネジメントレビュー、パフォーマンスとリスクの指標、 バックアップの検証、セキュリティ訓練と意識向上(気づき)トレーニングおよび障害復旧と事業継続に関する知識も求められます。

セキュリティ評価とテストにおいては、適切なリスク低減戦略を策定し、実施できるだけの綿密な分析と、評価結果の報告がなければ意味をなしません。CISSPにはテスト結果の分析と報告を行うスキルが求められます。

7. セキュリティの運用

「セキュリティの運用」ドメインは、エンタープライズコンピューティングシステムの運用に対する情報セキュリティのコンセプトとベストプラクティスの適用に関わる広範なトピックを含んでいます。

情報セキュリティの専門家が、日常的に実行することが要求されるタスクおよびその状況を示すことを目的としています。

フォレンジック調査に関する知識およびそれらを指揮したりサポートしたりする能力についてのトピックが含まれ、様々な調査コンセプトの概念(証拠の収集と取り扱い、文書化と報告、 調査手法およびデジタルフォレンジックを含む)に関する知識が求められます。また、運用状況、犯罪、市民、および規制の観点から調査の要件を理解する必要があります。

ロギングとモニタリングの仕組みづくりは、セキュリティの基盤となる機能です。フォレンジック調査のサポートに加えて、ログ取得記録とモニタリングは、 インフラストラクチャの日常業務を俯瞰するのに役立ちます。侵入検知防御、セキュリティ情報とイベントモニタリングシステムSIEM(Security Information and Event Monitoring system)、 および漏えいからの保護が含まれます。

また、「セキュリティの運用」ドメインでは、リソースのプロビジョニングとそれらのリソースのライフサイクル全体を通じた管理と保護も扱っており、 リソースの保護に関するセキュリティ運用基盤についての知識も求められます。保護制御(ファイアウォール、侵入防止システム、アプリケーションホワイトリスト、 アンチマルウェア、ハニーポットとハニーネットおよびサンドボックスを含む)の運用と維持ならびにサードパーティのセキュリティサービス契約と管理を行うことに 関するスキルも求められます。パッチ、脆弱性および変更管理についての知識も必要になります。

さらに、インシデント対応と回復復旧、障害・災害復旧、および事業継続も含まれます。CISSPには、インシデント管理などに関するスキルについて、 および障害・災害復旧プロセスの実装とテストを行い事業継続計画に参加する知識とスキルが求められます。物理的セキュリティと人と個人の安全に関するトピックも含まれています。

8. ソフトウェア開発セキュリティ

「ソフトウェア開発セキュリティ」ドメインは、ソフトウェアの開発、およびソフトウェアの開発環境に対するセキュリティコンセプト概念とベストプラクティスの適用に関わっています。ソフトウェア開発者や、ソフトウェアセキュリティエンジニアが環境内で運用しているソフトウェアに関するセキュリティ制御を評価、実行します。CISSPは、 この目的を達成するためにソフトウェア開発のライフサイクルに照らしてセキュリティを理解し適用しなければなりません。CISSPは、ソフトウェア開発手法、成熟度モデル、 運用および保守、変更管理、統合された製品開発チームの必要性を理解する必要があります。

またCISSPは、ソフトウェア開発環境においてセキュリティ管理策制御を実行できなければなりません。CISSPは、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、 構成管理のセキュリティを含む(これは、ソースコード開発、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティに関連しています) この領域分野のいくつかのトピックについての理解が求められます。

またCISSPは、ソフトウェア保護統制評価の領域分野についても知っている必要があります。この領域分野のトピックには、監査とログ記録(これは変更管理に関連しています)、 リスクの分析と低減(これはソフトウェアセキュリティに関連しています)および取得されたソフトウェアのセキュリティ上の影響が含まれます。

関連コース

CISSP CBKトレーニング

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top